Aktuelle Meldungen und Hinweise
(06.12.2023) Noteneinsicht über myHAW
................................................................................................................................................................................................
Noten- und Prüfungsergebnisse aus myHAW und StISys sind, wie bereits im Januar 2023 auf dieser Seite mitgeteilt, nach dem Cyberangriff weitestgehend erhalten geblieben. Die Einsicht und Pflege der Daten auf myHAW kann sukzessive wieder zur Verfügung gestellt werden:
Studierende der Departments Public Management, Pflege, Wirtschaft, Information und Medientechnik, Ökotrophologie, Gesundheitswissenschaften, Biotechnologie, Umwelttechnik, Medizintechnik, Verfahrenstechnik sowie der Sozialen Arbeit können ihre Noten bereits wieder abrufen.
In Kürze soll dies auch für die Studierenden der Departments Fahrzeugtechnik und Flugzeugbau, Maschinenbau und Produktion, Elektrotechnik, und Informatik sowie für das Department Design möglich sein.
Mit der Einsicht der Noten für Studierende geht die Möglichkeit der Erfassung von Noten durch Lehrende einher.
In den Fakultätsservicebüros (FSB) gibt es die Möglichkeit, in besonderen Einzelfällen Notenübersichten und auch Zeugnisse zu erhalten.
Kontakt zu den FSBs finden Sie auf den jeweiligen Seiten der Fakultät:
Technik und Informatik: www.haw-hamburg.de/hochschule/technik-und-informatik/studium-und-lehre/fakultaetsservicebuero/
Life Sciences: www.haw-hamburg.de/hochschule/life-sciences/studium-und-lehre/fakultaetsservicebuero/
Wirtschaft und Soziales: www.haw-hamburg.de/hochschule/wirtschaft-und-soziales/unsere-fakultaet/ansprechpersonen/
Design, Medien und Information: www.haw-hamburg.de/hochschule/design-medien-und-information/studium-und-lehre/fakultaetsservicebuero/
(16.10.2023) Informationen zur Ausgabe neuer Chipkarten und zur Validierung
................................................................................................................................................................................................
Studierende im 1. und 2. Semester an der HAW Hamburg können ab dem 01.11.2023 ihre erste Chipkarte erhalten. Um die Ausgabe der Karten zu koordinieren und lange Wartezeiten zu vermeiden, sind die Studierenden aufgefordet, jeweils in bestimmten Wochen in die Chipkartenbüros in der Stiftstraße und in Bergedorf zu kommen. Hierfür wurden Einladungen an die HAW-Hamburg-E-Mail-Adressen versandt. Nur nach Vorlage dieser Einladung wird die Chipkarte produziert. Der Einladungszeitraum erstreckt sich vom 01.11.2023 bis zum Jahresende jeweils für bestimmte Kalenderwochen.
Mit Start des Jahres 2024 können dann alle übrigen Erst-Chipkarten produziert werden. Zur Produktion ist ein gültiger Personalausweis oder Reisepass mitzubringen sowie das Semesterticket auf Papier. Es werden nur Original-Dokumente akzeptiert. Chipkarten für Beschäftigte können ebenfalls ab sofort produziert werden. Bitte verabreden Sie hierfür einen Termin ab dem 01.11.2023 unter:chipkarte (at) haw-hamburg (dot) de
Beachten Sie, dass die Karten zwar wieder validiert werden können, aber nur mit einem Gültigkeitsaufdruck als Studierendenausweis versehen werden. Sie können (noch) nicht als Semesterticket genutzt werden. Dafür muss im WiSe 2023/24 weiterhin das Papierticket verwendet werden. Im SoSe 2024 soll mit der Validierung dann auch wieder das Semesterticket auf die auf die Karte gedruckt werden.
Die Öffnungszeiten des Chipkarten-Servicebüros sowie Informationen zu den Funktionalitäten der Karte finden Sie unter:
www.haw-hamburg.de/chipkarte
(13.10.2023) Automatischen Weiterleitung an externe Mailadressen
................................................................................................................................................................................................
Es ist jetzt wieder möglich, eine Weiterleitung von der HAW-Mailadresse an externe Mailadressen einzurichten.
Was ist bei dem Cyberangriff passiert?
................................................................................................................................................................................................
Die technische Informations- und Kommunikationsinfrastruktur der HAW Hamburg ist angegriffen worden. Dies wurde am 29. Dezember 2022 festgestellt. Nach derzeitigem Kenntnisstand haben sich die Angreifer ausgehend von dezentralen IT-Systemen über das Netzwerk manuell bis in die zentralen IT- und Sicherheitskomponenten der HAW Hamburg vorgearbeitet. Über diesen Angriffspfad haben sie auch administrative Rechte auf den zentralen Storage-Systemen erlangt und damit die zentrale Datenhaltung kompromittiert. Mit den erlangten administrativen Rechten wurde abschließend die Verschlüsselung diverser virtualisierter Plattformen und das Löschen gespeicherter Backups gestartet.
Die HAW Hamburg hat beim Landeskriminalamt, Abteilung Cyber-Kriminalität, Anzeige erstattet. Außerdem wurde der Vorfall dem Hamburger Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) gemäß Art. 33 DSGVO sowie dem CERTnord gemeldet und die Betroffenen im Sinne des Gesetzes wurden am 06.01.2023 informiert.
Mit Bekanntwerden der Veröffentlichung von personenbezogener Daten am 05.03.2023 im sogenannten Darknet wurden die Betroffenen erneut nach Art. 34 DS-GVO am 09.03.2023 informiert. Weitere Informationen finden sich auf der Informationsseite zum Datenleak.
Informationen für Beschäftigte
Beschäftigtendaten auf der Website
................................................................................................................................................................................................
Aufgrund des Cyberangriffs steht myHAW derzeit noch nicht für die Pflege der Beschäftigtendaten für die Anzeige auf der Website zur Verfügung. Zudem werden derzeit auch keine Daten mit anderen Systemen synchronisiert. Das heißt, dass alle Personendaten, die unter Beschäftigte zu finden sind, in der Regel einen Stand von Dezember 2022 haben.
Übergangsweise bietet das Web-Team der Hochschule an, diese Daten manuell zu aktualisieren. Im unten verlinkten Formular können Sie Ihre bzw. die Daten neuer/ausgeschiedener Kolleg*innen hinterlegen.
Formular für Änderungen der Beschäftigtendaten
Bitte beachten Sie: Aufgrund erhöhter Nachfrage kann es sein, dass die Aktualisierung Ihrer Daten ein paar Tage dauert. Wir bitten hierfür um Geduld.
Funktionspostfächer
................................................................................................................................................................................................
Funktionspostfächer können wieder beantragt werden. Sämtliche Funktionspostfächer müssen neu angelegt werden. Es werden keine „alten“ Funktionspostfächer automatisch eingerichtet. Ob auch wieder alte Mails in die Funktionspostfächer eingespielt werden können, wird noch geprüft.
Die Verteilerlisten können zum aktuellen Zeitpunkt nicht berücksichtigt werden.
Zur Beantragung eines Funktionspostfaches wenden Sie sich bitte an Ihren Vorgesetzten.
Bitte beachten Sie, dass die Erstellung der Funktionspostfächer einige Zeit in Anspruch nehmen wird. Die antragsstellende Person wird vom Mailbetrieb über die Einrichtung informiert.
Bei Funktionspostfächern für Studierende (z. B. FSR) muss immer ein*e Beschäftigte*r als "vorgesetzte Person" sowie als "zugriffsberechtige Person" eingetragen werden.
Nutzung von Verteilerlisten
................................................................................................................................................................................................
Die Nutzung vieler Verteilerlisten ist inzwischen wieder möglich und kann vom ITSC eingerichtet werden. Für den Versand an die allgemeinen Verteilerlisten „Alle Beschäftigte“ und/oder „Alle Studierende“ ist hierfür eine vom Präsidium beschlossene Verteiler-Policy zu beachten.
Für den Zugriff auf die allgemeinen Verteilerlisten benötigen Sie unter anderem eine Funktionspostadresse. Außerdem muss kurz begründet werden, warum eine Berechtigung auf die oben genannten Verteiler gewünscht und erforderlich ist. Sie können den Zugriff auf die Verteilerim Beschäftigtenportal beantragen.
Der Zugriff auf Verteilerlisten von Fakultäten/Departments etc. muss von den jeweiligen Verantwortlichen (Dekan*innen, Departmentleitung) entschieden werden.
Hinweis zur Aktivierung von Windows
................................................................................................................................................................................................
Wenn auf Ihrem Bildschirm der Hinweis erscheint, dass Windows aktiviert werden muss, ist wahrscheinlich Ihre Windows-Lizenz abgelaufen. Da die Lizenzserver der HAW Hamburg noch nicht wieder laufen, wenden Sie sich in diesem Fall bitte an die Kolleg*innen im ITSC (-8880, itsc-support (at) haw-hamburg (dot) de). In der Regel erfolgt die neue Aktivierung in wenigen Minuten.
Beschaffungswesen, SAP und Rechnungen
................................................................................................................................................................................................
SAP-Nutzung und SAP-Passwortrücksetzungen
Damit die HAW Hamburg das SAP-System nutzen kann, hat die Universität Hamburg der HAW Hamburg einige FHH-Netz-Rechner mit SAP-Zugang zur Verfügung gestellt. Auch in den Fakultäten kann inzwischen jeweils ein solcher Rechner genutzt werden. Für Info-User ist es jetzt auch möglich, den webbasierten SAP-Zugang zu nutzen. Für Fragen wenden Sie sich bitte an das Funktionspostfach: Controlling (at) haw-hamburg (dot) de
Für die Mitarbeitenden der zentralen Hochschulverwaltung gibt es für das Anlegen von Bestellvorgängen einen neuen Zugang für SAP/SRM: https://srm.hochschulen.hamburg.de/sap/bc/nwbc/srm
Der Zugang für Nutzer*innen des Wissenschaftsnetz lautet:
https://sap.hochschulen.hamburg.de/nwbc
Passwortzurücksetzung
Sollte Ihr SAP-Passwort abgelaufen sein, wenden Sie sich bitte mit der Betreffzeile "SAP-Passwortzurücksetzung" an das Funktionspostfach: ITSC-Support (at) haw-hamburg (dot) de
Das ITSC wird die Anfragen bearbeiten und die Initialpasswörter versenden. Beachten Sie, dass dies aktuell mehr Zeit in Anspruch nimmt als gewohnt.
Auszahlungen und Einzahlungen
Auszahlungsbelege können wie gewohnt (über die Hauspost oder das Ablagefach) eingereicht werden.
Nutzen Sie folgende Dokumente:
MS-Teams Raum zum Cyberangriff für Beschäftigte
................................................................................................................................................................................................
Beschäftigten steht ein MS Teams-Kanal zur Verfügung, in dem Beschäftigte Fragen zu den Maßnahmen, Folgen und Entwicklungen rund um den Cyber-Angriff stellen und in den Austausch mit Kolleg*innen gehen können. Der MS Teams-Kanal wird vom Team Presse und Kommunikation betreut. Fragen, die nicht direkt beantwortet werden, werden an die entsprechenden Bereiche weitegeleitet. Bitte haben Sie Verständnis, dass die Beantwortung eventuell ein paar Tage dauern kann. Gehen Sie zudem gerne unter einander in den Austausch – vielleicht haben Sie Informationen, die Ihren Kolleg*innen weiterhelfen könnenSie können mit dem Teams-Code lt8o8ss teilnehmen. Eine Kurz-Anleitung zur Teilnahme per Code finden Sie hier.
IT-Sicherheitshinweise
Übliche Betrugsmaschen
................................................................................................................................................................................................
Bei dem Angriff auf die IT-Infrastruktur der HAW Hamburg hatten die Angreifer Zugriff auf die zentralen IT-Systeme der Hochschule. Seit dem 05.03.2023 wissen wir, dass durch den Zugriff auf die Systeme auch abgeflossene Daten im sogenannten Darknet veröffentlicht wurden (Siehe Information nach Artikel 34 DGSVO vom 09.03.2023). Die Kriminellen nutzen die abgeflossenen Daten mitunter für betrügerische Aktivitäten wie zum Beispiel Phishing-Mails oder den Kauf von Waren im Internet unter falscher Identität.
Wir möchten Sie deshalb noch einmal darum bitten, besonders aufmerksam zu sein. Im Folgenden finden Sie Hinweise auf übliche Betrugsmaschen und wie sie darauf reagieren sollten:
A. Telefonanrufe (persönlich oder per Computerstimme)
Kriminelle geben sich vermehrt als Beamte von Europol/Interpol/BKA aus (siehe auch Warnhinweis des BKA). Diese Fake-Anrufe können mit dem Cyberangriff auf die HAW Hamburg zu tun haben, müssen es aber nicht. Bitte merken Sie sich: Die Polizei oder eine andere Ermittlungsbehörde ruft Sie nicht an und fordert Sie niemals auf, persönliche Daten am Telefon zu nennen. Auch andere Behörden oder Banken tätigen solche Anrufe nicht. Sofern Sie den Anweisungen folgen, werden Sie möglicherweise unbemerkt auf kostenpflichtige Nummern weitergeleitet, bei denen sehr hohe Gebühren anfallen. Außerdem könnten die Täter versuchen, im Zuge der Anrufe an weitere Daten von Ihnen zu gelangen, um diese für weitere kriminelle Aktivitäten zu nutzen.
Wie sollten Sie reagieren?
1. Folgen Sie nicht den Anweisungen, lassen Sie sich nicht in ein Gespräch verwickeln und geben Sie keine Daten preis! Notieren Sie sich die Rufnummer und legen Sie auf.
2. Lassen Sie die Rufnummer sperren bzw. blockieren Sie Rufnummern, die Sie bereits unerwünscht kontaktiert haben.
3. Zusätzlich können Sie bei der Bundesnetzagentur gegen diese Rufnummern Beschwerde einreichen.
B. Warenkreditbetrug
Häufig werden gestohlene Personen- und Adressdaten auch dazu verwendet, um damit Warenkreditbetrug zu begehen – also auf fremden Namen im Internet einzukaufen. Die Betrüger bestellen Produkte, die sie an eine Paketstation oder alternative Adresse liefern lassen. Die Rechnungen oder gegebenenfalls Inkassoschreiben gehen dann an die Adresse des nichts ahnenden Opfers des Datendiebstahls.
Wie sollten Sie reagieren?
- Erstatten Sie umgehend Strafanzeige, wenn Ihre Identität missbräuchlich verwendet wurde. Verweisen Sie in der Strafanzeige bei der Polizei bitte auch auf das polizeiliche Aktenzeichen zum Cyber-Angriff: LKA541/1K/0870845/2022, wenn der Missbrauch mit dem Cyberangriff auf die HAW Hamburg und der Veröffentlichung Ihrer Daten im Darknet in Verbindung stehen kann.
- Sofern Ihnen Rechnungen, Mahnungen oder unaufgefordert Pakete zugesandt werden, setzen Sie sich am besten persönlich mit den absendenden Firmen in Verbindung (seien Sie vorsichtig bei angeblichen Rechnungen, die Ihnen per E-Mail zugestellt werden, denn mit dem Betreff „Rechnung“ o.ä. werden nicht selten Dateien verschickt, die auf Ihrem Endgerät Schadsoftware installieren).
- Beachten Sie, dass ggf. zugestellten gerichtlichen Mahnbescheiden fristgerecht widersprochen werden muss.
- Melden Sie Identitätsmissbrauch ggf. bei den großen Wirtschaftsauskunftsdateien; entsprechende Formulare finden Sie u.a. unter: schufa.de und crifbuergel.de. Wenn Sie sicher gehen wollen, dass nicht bereits mit Ihren Identitätsdaten Straftaten, wie z.B. Warenkreditbetrug, begangen wurde, können Sie nach einiger Zeit des Abwartens ggf. eine kostenlose Selbstauskunft bei den gängigen Wirtschaftsauskunfteien, wie der Schufa oder CRIF beantragen, um festzustellen, ob unbekannte Täter bereits in Ihrem Namen aktiv waren.
- Wenn Sie feststellen, dass in Ihrem Namen Betrügereien begangen werden, kann es zudem sinnvoll sein, eine sogenannte Einmeldung bei den großen Wirtschaftsauskunftsdateien vornehmen zu lassen, um einen Missbrauch Ihrer Identität durch unbekannte Täter zu erschweren.
- Beachten Sie für diesen Fall aber, dass die Vertragspartner der Wirtschaftsauskunftsdateien einen Hinweis erhalten, dass Ihre Daten als Identitätsbetrugsopfer gespeichert sind. Dies kann dazu führen, dass ggf. auch Ihre eigenen Verträge einer gesonderten Prüfung unterzogen werden. Dies kann unter Umständen dazu führen, dass zusätzliche Unterlagen oder eine erweiterte Identifizierung angefordert werden und die Bearbeitungszeiten dadurch verlängert werden.
Weitere Informationen stellt die Verbraucherzentrale zur Verfügung.
C. Phishing-Versuche
Unter Phishing versteht man Versuche Dritter, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdige Person / Unternehmen / Organisation in einer elektronischen Kommunikation auszugeben. Ziel der Angreifer ist es, an weitere personenbezogene Daten zu gelangen oder Ihre Endgeräte mit entsprechender Schadsoftware zu infiltrieren.
Wie sollten Sie reagieren?
- Prüfen Sie stets den Absender von eingehenden E-Mails, indem Sie auf die Absenderadresse klicken. Beachten Sie dabei aber auch, dass selbst bekannte Absender-Adressen durch fremde Personen gefälscht oder unautorisiert genutzt werden könnten.
- Achten Sie auf Rechtschreibfehler oder ähnliche Auffälligkeiten (z.B. fehlende Anrede, andere Sprache, angeblicher dringender Handlungsbedarf) – das weist ebenfalls auf eine Phishing-Mail hin.
- Öffnen Sie keine Anlagen und Links in verdächtigen E-Mails. Bei den Anlagen und Links in solchen E-Mails kann es sich um Schadsoftware / Malware handeln, die unbemerkt Schäden auf Ihrem Endgerät verursacht oder persönliche Daten, z.B. Kontodaten, von Ihrem Gerät abzieht, die für weitere kriminelle Handlungen genutzt werden.
- Fragen Sie in Zweifelsfällen auf anderem Wege (z.B. telefonisch) nach, ob die E-Mail tatsächlich von dem angeblichen Absender stammt.
- Berücksichtigen Sie bitte auch die Hinweise der Verbraucherzentrale zu aktuellen Phishing- Aktivitäten.
Weiterführende Informationen stellt die Polizei Hamburg zur Verfügung.
Hinweis zur Verwendung von Codes bei MS-Teams-Einladungen
................................................................................................................................................................................................
Um die IT-Sicherheit an der HAW Hamburg weiter zu erhöhen, wird empfohlen, Einladungen zu öffentlichen MS-Teams-Kanälen nicht via Link, sondern mittels eines Codes zu kommunizieren. Hintergrund: Insbesondere Phishing-Mails enthalten oftmals die Aufforderungen: „Klicken Sie diesen Link“. Mit dem Code wird diese Gefahrenquelle minimiert und Studierende wie Beschäftigte für dieses mögliche Risiko sensibilisiert. Sie finden hier eine Anleitung zum Generieren des Codes (dies ist nur als Kanal-Besitzer*in möglich) sowie zum Beitreten zu einem MS Teams-Kanal via Code.
E-Mail-Daten
................................................................................................................................................................................................
Tausende von Passwörtern, Zugangsdaten und Konten werden jährlich gehackt. Soziale Netzwerke und Unterhaltungsseiten gehören zu den häufigsten Zielen von Phishing-Angriffen. Um zu prüfen, ob Ihre E-Mail-Adresse(n) kompromittiert ist/sind, stehen verschiedene Online-Portale zur Verfügung, die die Daten bekannter Leaks zusammenfassen und eine Suche nach Mailadressen ermöglichen. Einer der umfassendsten dieser Dienste ist Have I Been Pwned, den Sie unter haveibeenpwned.com erreichen können.
Wenn Sie die Meldung erhalten "Oh no - pwnded", bedeutet dies, dass diese E-Mail-Adresse bei einem oder mehreren Datenleaks veröffentlicht wurde. Welche dies sind, wird auf der genannten Webseite veröffentlicht. Für Sie gilt dann mit besonderer Dringlichkeit, was ohnehin jeder beachten sollte:
- 1. Wählen Sie ein starkes Passwort.
- 2. Nutzen Sie eine Zwei-Faktor-Authentifizierung, wo immer dies möglich ist.
- 3. Und wählen Sie die Benachrichtigungsfunktion (Subscribe to notification) von haveibeenpwned.com.
Die Website weist mit den "3 Steps to better security" darauf hin.