Angriff auf die
IT-Infrastruktur Angriff auf die IT-Infrastruktur

Die Betriebseinheit Arbeitsschutz-, Konflikt- und Umweltmanagement ist derzeit per E-Mail erreichbarunter: arbeitsschutz.haw (at) gmail (dot) com 

Die Fachkräfte für Arbeitssicherheit sind telefonisch und eingeschränkt über MS Teams erreichbar. 

Florian Hartart  

• +49 40 42875 9105 
• +49 176 42851170 

Luzia Nordlohne 

• +49 40 42875 9106 
• +49 1522 3950620 

Irene Theilen 

• +49 40 42875 9108 
• +49 170 5050328 

Wenn Sie Vordrucke, Formulare oder sonstige Informationen aus dem Arbeits-, Gesundheits- und Umweltmanagementsystem AGUM benötigen, können Sie sich gerne telefonisch an Luzia Nordlohne oder per E-Mail an uns wenden. 

Datenschutzanfragen können Sie an das Multimediakontor Hamburg senden: datenschutz (at) mmkh (dot) de
Bei dem MMKH handelt es sich um ein Tochterunternehmen der staatlichen Hamburger Hochschulen. Das Multimediakontor Hamburg beantwortet die Anfragen in Abstimmung mit der HAW Hamburg.

Die Teams des Servicebereichs Facility Management sind unter folgenden E-Mail-Adressen erreichbar:
 
Baumanagement: haw.fm.baumanagement (at) gmail (dot) com
Flächenmanagement: haw.fm.flaechenmanagement (at) gmail (dot) com
Gebäudeservice und Hausmeisterei (BT 5, Alexanderstraße, Stiftstraße): haw.fm.gebaeudeservice (at) gmail (dot) com
Gebäudetechnik: haw.fm.gebaeudetechnik (at) gmail (dot) com
 
Die Servicebereichleitung (Sebastian Feldmann) erreichen Sie unter: info_feldmann (at) gmx (dot) de

Den Servicebereich Finanz- und Rechnungswesen erreichen Sie unter folgende E-Mail-Adresse: rechnungswesen.haw (at) gmail (dot) com

Die Beratungsangebote der Stabsstelle Gleichstellung sind unter den bekannten Festnetznummern und vor Ort folgendermaßen erreichbar:

• Vertrauensperson bei sexualisierter Belästigung (Andrea Bettels): Mi + Do 9 - 14 Uhr
• Beratung zu Vereinbarkeit & Pflege/Familienbüro (Susann Aronsson): Di + Mi 8:30 -13 Uhr

Der Personalrat ist über folgende Adresse zu erreichen:
personalrat%haw_hamburg (at) gmx (dot) de
 
Telefonisch erreichen Sie Holger Sterzenbach und Ronnald Sachse: 
Holger Sterzenbach
T +49 40 428 75 - 9120
 
Ronnald Sachse
T +49 40 428 75 - 9124

Die Mitarbeiter*innen des Personalservice sind telefonisch, vor Ort und eingeschränkt per MS Teams erreichbar. Die Zuständigkeiten finden Sie im Dienstleistungskatalog auf der Website des Personalservice.

Ansprechpartner*innen der Stabsstelle Presse und Kommunikation sind auf der Website der HAW Hamburg hinterlegt, die Team-Mitglieder sind telefonisch und in der Regel via MS Teams erreichbar.

presse (at) haw (dot) hamburg

Die Überprüfung der Multifunktionsgeräte ist abgeschlossen. Es kann ab sofort wieder kopiert und per USB-Stick gedruckt werden. Die Netzwerkverbindung bleibt getrennt.

Das WLAN ist seit dem 9. Januar wieder verfügbar und funktioniert jetzt auch in der gesamten Hochschule.

Da das Identity Management System noch nicht wieder aufgesetzt wurde, werden in der Hochschule die Login-Daten mit einem entsprechende QR-Code zur Verfügung gestellt.

Hinweis: Mit dem Zugriff auf das WLAN ist es trotzdem weiterhin nicht möglich, auf die Server der HAW Hamburg zuzugreifen. Es bedeutet lediglich, dass man in der Hochschule, einen Internet-Zugang zur Verfügung stellt.

Als Beschäftigte*r stimmen Sie sich mit der Ihnen vorgesetzten Person unter Berücksichtigung der besonderen Situation darüber ab, an welchem Ort und in welcher Weise Sie Ihre Arbeitsleistung erbringen.

Die Abrechnung und Auszahlung von Gehältern und Bezügen ist sichergestellt.

Die Finanzbuchhaltung hat Räume in der Universität Hamburg bezogen und von dort mittels zur Verfügung gestellte Rechner in Betrieb genommen. Es konnten bereits erste Rechnungen verbucht und die Betriebsfähigkeit im Krisenmodus wieder hergestellt werden. Neue Auszahlungsbelege können wie gewohnt (über die Hauspost oder das Ablagefach) eingereicht werden.

Beschaffungsanträge der Einheiten der zentralen Hochschulverwaltung, die an die digitale Beschaffung über SAP SRM angeschlossen sind, können das System ab sofort wieder nutzen.

Zugang für die Verwaltung: https://srm.hochschulen.hamburg.de/sap/bc/nwbc/srm

Zugang für Nutzer*innen des Wissenschaftsnetz: https://serviceportal.hamburg.de/HamburgGateway/Service/Entry/SAPS

Bitte beachten Sie, dass ausschließlich bereits registrierte Nutzer*innen das System nutzen und Sie Ihr Passwort aktuell nicht zurücksetzen können.

Nutzen Sie folgende Dokumente:

• Einzahlungsbeleg
• Auszahlungsbeleg
• Auslagenerstattung

Für Rückfragen können Sie folgende E-Mail-Adresse nutzen: rechnungswesen.haw (at) gmail (dot) com

Die Festnetztelefone an der HAW Hamburg funktionieren wieder. Man kann darüber erreicht werden und innerhalb der Hochschule sowie nach draußen telefonieren. Da die Konfigurationsserver für die Steuerung der Telefonapparate derzeit nicht verfügbar sind, können allerdings aktuell keine Änderungen an den Einstellungen vorgenommen werden.

Mit dem Angriff auf die IT-Infrastruktur der HAW Hamburg sind wahrscheinlich auch sensible persönliche Daten abgeflossen. Es gibt außerdem Hinweise darauf, dass den Angreifern nicht nur Passwörter für IT-Systeme der Hochschule bekannt sind, sondern es Ihnen möglicherweise auch geglückt ist, in Einzelfällen Passwörter hochschulferner Accounts wie beispielsweise von Amazon, Ebay etc. auszulesen. Einige wenige Angehörige der Hochschule berichten davon, dass probiert wurde, Zugang zu ihren Accounts auf Portalen oder Kommunikationssystemen im Internet zu erhalten. 

Derzeit arbeitet das IT Service Center der HAW Hamburg (ITSC) unter Hochdruck an Möglichkeiten, alle Ihre Systeme zu überprüfen. Darüber hinaus ist es in der derzeitigen Situation sehr wichtig, dass Sie selbst im Zusammenhang mit den eigenen Endgeräten mögliche Sicherheitsrisiken zusätzlich minimieren.  

Für Rückfragen zu den hier beschriebenen Hinweisen wurde ein E-Mail-Postfach eingerichtet: security (at) haw (dot) hamburg

Beachten Sie folgendes: 

1. Verändern Sie bitte Ihre Passwörter  

Alle Ihre Passwörter für Systeme an der HAW Hamburg werden neu erzeugt. Diese wird das ITSC baldmöglichst verteilen. Wir empfehlen Ihnen darüber hinaus jedoch dringend, auch Ihre Passwörter auf anderen Systemen zu verändern. Denken Sie dabei nicht nur an das „zentrale“ Passwort für die zentralen IT-Dienste wie die HAW-Cloud oder MS Teams, sondern auch an alle anderen Systeme, insbesondere die dezentral betriebenen IT-Dienste mit einer separaten Passwortverwaltung. 

Bitte ändern Sie unbedingt auch andere Passwörter auf Systemen, die nicht zur HAW Hamburg gehören, um die Gefahr eines möglichen Missbrauchs zu verringern oder ganz auszuschließen. Der Hintergrund: Wir können derzeit nicht ausschließen, dass die Angreifer auch sogenannte Keyboard-Logger installierten und damit in der Lage sind, an den Geräten eingegebene Passwörter aufzuzeichnen und später zu missbrauchen.  

Wir beobachten kontinuierlich alle Entwicklungen und werden hierbei auch rund um die Uhr von den Ermittlungsbehörden und Computer-Notfallteams unterstützt. Wenn sich die Gefahrenbeurteilung ändert, werden wir diesen Abschnitt anpassen und Sie unverzüglich informieren.   

2. Installieren Sie sich ein gängiges Viren-Prüfprogramm  

Diese Alarme durch gängige Viren-Prüfprogramme weisen direkt auf die konkrete Angreifergruppe. Natürlich können Sie auch ganz andere Sicherheitsprobleme finden, die damit nichts zu tun haben – aber dennoch behoben werden müssen. 

Wenn Sie einen Windows-Rechner benutzen, ist das Microsoft-Defender-Antivirus-Programm eine gute Wahl. Es ist auf den Computern der Hochschule standardmäßig installiert. Dieses Antivirus-Programm ist außerdem gut dokumentiert: 

Microsoft Defender Antivirus  

MS Defender Antivirus erkennt eine „Zeppelin“ genannte Variante der eingesetzten Malware unter diesen Namen: 

• Ransom:Win32/VSocCrypt 
• Trojan:PowerShell/VSocCrypt 
• Ransom:Linux/ViceSociety 

Andere Angriffswerkzeuge, die in diesem Zusammenhang eingesetzt werden, werden erkannt als: 

• Behavior:Win32/Ransomware!Quantum.A 
• Behavior:Win32/Quantum.AA 
• Ransom:Win32/Zeppelin 
• Ransom:Win32/Blackcat 

Außerdem gibt es Angriffswerkzeuge („SystemBC“ und „PortStarter“ genannt), die unter diesen Namen auftauchen: 

• Behavior:Win32/SystemBC 
• Trojan:Win32/SystemBC 
• Backdoor:Win64/PortStarter 

Bevor die Angreifer daran gehen, Systeme zu verschlüsseln, benötigen sie einen direkten Zugriff. Da dieser nicht erreichbar ist, werden Benutzer:innen angegriffen, damit dann von innen weitere Angriffe gestartet werden können. Die hierbei eingesetzten Angriffswerkzeuge sind nicht unbedingt für eine bestimmte Angreifergruppe spezifisch, aber auf jeden Fall relevant: 

• Behavior:Win32/OfficeInjectingProc.A 
• Behavior:Win32/PsexecRemote.E 
• Behavior:Win32/SuspRemoteCopy.B 
• Behavior:Win32/PSCodeInjector.A 
• Behavior:Win32/REnamedPowerShell.A