Das Rektorat der UDE hielt am vergangenen Freitag, den 20. Januar, eine Pressekonferenz zum Daten-Leak im Darknet. Welche Daten möglicherweise geleakt wurden und wie das Rektorat den Studierenden in der Prüfungsphase entgegenkommen möchte.
Ein Text von Selome Abdulaziz
Nachdem die UDE am 27. November 2022 Opfer eines Cyberangriffs wurde, veröffentlichten die Täter:innen am 16. Januar die illegal erbeuteten Daten im Darknet. Im Mercatorsaal am Campus Duisburg versammelten sich die Rektorin der UDE, Prof. Barbara Albert, Kanzler Jens Andreas Meinen, Prorektor für Transfer, Innovation & Digitalisierung Prof. Pedro José Marrón sowie der Prorektor für Studium, Lehre & Bildung Prof. Stefan Rumann, um die Fragen der Presse zu beantworten. Auch anwesend war Skarlett Brune-Wawer, die Leiterin der Stabsstelle des Rektorats.
Adresslisten womöglich im Darknet
Auf die Frage, welche Daten genau bei dem Daten-Leak veröffentlicht wurden, antwortete das Rektorat zunächst ausweichend. Prorektor Marrón erklärt, dass Daten aus dem Darknet nur langsam heruntergeladen werden können, da unter anderem das Netz langsamer sei. „Die Daten von den Angreifern, die eine kriminelle Organisation sind, können auch Schadsoftware haben, deswegen muss man mit diesen Daten sehr vorsichtig umgehen“, führt er weiter aus. Die Dateien seien deshalb noch nicht vollständig analysiert. Nach einigen Nachfragen räumt Kanzler Meinen ein, es handle sich um „klassische Listen, wie sie üblicherweise an einer Universität geführt werden. Dort stehen Namen, Vornamen, Adressen und so weiter. Wir gehen nicht davon aus, dass es heikle Daten sind.“
Laut Rektorin Albert gehen die Berater:innen von der Polizei davon aus, dass es sich bei den bisher veröffentlichten Daten um die ganzen Daten der Angreifer handelt. Mit einer weiteren Veröffentlichung sei nicht zu rechnen. „Die Strategie ist, diese Daten so gut wie möglich zu analysieren und den Schaden zu begrenzen, indem wir Leute informieren“, so Albert. Dass die UDE der Lösegeldforderung der Angreifer nicht nachkam, rechtfertigt Albert so: „Es ist unsere Haltung, dass wir das Geschäftsmodell von Erpressern nicht unterstützen dürfen, indem wir zahlen. Wenn das alle so täten, gäbe es diese Form des Angriffs nicht mehr, da sich das nicht lohnen würde.“
Konsequenzen für Betroffene
Die möglichen Konsequenzen für Betroffene seien laut Albert schwierig einzuschätzen, da das Rektorat noch nicht genau wisse, welche Daten im Darknet sind. „Namen und Adressen sind Daten, die wir nicht von uns aus Preis gegeben hätten, aber die haben normalerweise keinen hohen Geheimheitsgrad“, so Albert. In früheren Zeiten hätten solche Daten auch in Telefonbüchern gestanden. „Trotzdem darf und will ich das nicht marginalisieren“, fügt sie hinzu. Das Rektorat appelliert an alle Studierenden, aber besonders Betroffene des Daten-Leaks, alle ihre Passwörter zu ändern und nicht das gleiche Passwort für mehrere Dienste zu nutzen. Hier findet ihr zwei Links, über die ihr überprüfen könnt, ob eure E-Mail-Adresse kompromittiert ist.
Prüfungsphase
Prorektor Rumann ging auf die Situation für Studierende ein. Er räumt ein, dass es in der ersten Woche nach dem Cyber-Angriff am 27. November 2022 Verzögerungen beim Hochladen von Folien gab. Ansonsten stellt er jedoch fest: „Die Lehre in Präsenz hat reibungslos funktioniert, Vorlesungen konnten gehalten werden.“ Das Durchführen der kommenden Prüfungsphase hält Rumann für bedeutsam: „Da hängen Zukunftsentwicklungen von Studierenden von ab, Bafög-Zahlungen, Auslandssemester oder die weitere Lebensplanung.“ Allerdings stünde er mit dem AStA sowie den Studiendekan:innen im Austausch, um Kompromissverhandlungen zu führen.
Eine Freiversuchsregelung wurde durch das Rektorat bereits abgelehnt. Um den Studierenden entgegenzukommen, die laut Rumann durch die Herausforderungen der Energiekrise und den Einschränkungen von Corona jetzt erneut vor einer Krise ständen, einigte er sich mit den Studiendekan:innen aller elf Fakultäten auf eine neue Regelung der Prüfungsabmeldung. Zuvor war es so, dass Studierende sich zwei Wochen vor einer Prüfung ohne Folgen von einer Prüfung abmelden konnten. In diesem Zyklus soll es wie folgt laufen: „Wer am Prüfungstag unentschuldigt fehlt, bekommt dafür kein „Nicht Bestanden”. Es gilt als nicht angetretene Prüfung, völlig schadfrei für die Studierenden“, so Rumann. Als weitere gute Neuigkeit verkündet er, dass Webmail in etwa einer Woche wieder in Betrieb gehen soll.
Schadensansprüche?
Ein anwesender Journalist fragt nach Regressansprüchen der Studierenden gegenüber der Universität, also nach Schadensersatz für die veröffentlichten Daten. Kanzler Meinen entgegnet: „Es ist ja nicht so, dass Frau Albert und ich leichtsinnigerweise eine CD mit Daten am Duisburger Hauptbahnhof haben liegen lassen. Wir sind Opfer eines kriminellen Angriffs geworden.“ Es gäbe keine Hinweise darauf, dass das Rektorat leichtsinnig oder fahrlässig Fehler gemacht habe, weswegen sie nicht davon ausgehen, dass ein Anspruch auf Schadensersatz vorliegt. „Wir stellen uns aber darauf ein, dass solche Forderungen oder Fragen an uns gerichtet werden“, schließt der Kanzler ab.