BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/3206 21. Wahlperiode 16.02.16 Schriftliche Kleine Anfrage des Abgeordneten Dr. Wieland Schinnenburg (FDP) vom 10.02.16 und Antwort des Senats Betr.: Hack des CommSy-Systems an der Universität Hamburg Am 06. Februar 2016 wurden Nutzer des CommSy-Systems der Universität Hamburg via E-Mail dazu aufgefordert, ihr Passwort zu ändern. Am 08. Februar 2016 wurde eine ähnlich lautende Meldung auch auf der Homepage des RRZ veröffentlicht. Diese lautet: „Ende Januar kam es auf dem E-Learning- System CommSy der Universität Hamburg zu Systemstörungen. Im Zuge der Problemanalyse hat sich die Notwendigkeit herausgestellt, dass das von Ihnen in CommSy genutzte Passwort durch Sie geändert werden muss. Falls dieses Passwort auch in anderen Systemen eingesetzt wird, sollte auch dort eine entsprechende Passwortänderung durchgeführt werden.“ Später am 08.02. wurden CommSy-Nutzer durch eine weitere Mail und die Öffentlichkeit über eine Pressemitteilung über einen Hack informiert. Ich frage den Senat: Der Senat beantwortet die Fragen auf der Grundlage von Auskünften der Universität Hamburg (UHH) wie folgt: 1.) Welche Anzahl an CommSy-Installationen gibt es an der Universität Hamburg? Die UHH betreibt eine CommSy-Installation, die elf Portale bereitstellt. Diese sind unter www.commsy.uni-hamburg.de zu erreichen. 2.) Welche Anzahl an Nutzern ist an den CommSy-Systemen der Universität Hamburg registriert? An den CommSy-Systemen der UHH sind 76.540 Benutzer registriert. 3.) Wurden ein oder mehrere CommSy-Syteme gehackt? Wenn ja, wann, wie und durch wen? Wann wurde der Hack festgestellt? Es war die oben genannte CommSy-Installation betroffen, in der am 21. Januar 2016 um 20.30 Uhr eine Systemstörung aufgetreten ist. Diese wurde am 22. Januar 2016, Dienstbeginn, festgestellt. Dass diese Systemstörung auf einen Hack zurückzuführen ist, wurde am 27. Januar 2016 identifiziert und bereinigt, woraufhin das Landeskriminalamt (LKA) eingeschaltet wurde. Am 5. Februar 2016 wurden der UHH seitens des LKA die in der Zwischenzeit sichergestellten Daten übermittelt, woraus sich die Befürchtung ergab, dass der mutmaßliche Täter gegebenenfalls in der Lage war, Passworte zu entschlüsseln. 4.) Welche Anzahl an Nutzern ist betroffen? Alle Benutzer der CommSy-Systeme der UHH sind betroffen. Drucksache 21/3206 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 5.) Wann wurde der Hack zur Anzeige gebracht? Das LKA wurde am 27. Januar 2016 eingeschaltet, am 29. Januar 2016 wurde Strafantrag gestellt. 6.) Laut Angaben der Universität wurden die Datenbank und die auf den Systemen abgelegten Dokumente kompromittiert. Waren die Nutzerdaten und Passwörter gesichert, wenn ja, wie? Es existiert ein regelhaftes Backup aller Serversysteme der UHH. 7.) Die Universität weist in ihrer zweiten Mail darauf hin, dass das „Speichern von personenbezogenen Daten oder Dokumenten“ nicht gestattet und die Nutzer dafür haftbar gemacht werden könnten. Wie wurden die Nutzer darüber informiert (etwa bei der Registrierung), welche Nutzungsbedingungen mussten sie akzeptieren? Die Nutzer wurden bei einigen der elf Portale im Rahmen der Registrierung über die Nutzungsbedingungen informiert und mussten diese akzeptieren, um auf dem System zugelassen zu werden. Bei Portalen, bei denen dies zum Zeitpunkt des Vorfalls noch nicht der Fall war, wurde dies umgehend nachgeholt. 8.) Wurden sensible Daten auf CommSy-Systemen abgelegt? Haben etwa Berufungskommissionen oder andere Zulassungskommissionen das System verwendet? Wenn ja, welche Daten wurden dort abgelegt? Berufungskommissionen haben CommSy genutzt und Dokumente im Rahmen von Berufungsverhandlungen ausgetauscht. 9.) Welche Sicherheitsvorkehrungen wurden und werden getroffen, um Nutzerdaten auf CommSy-Systemen zu schützen? a. Werden Salts und/oder Scrypt genutzt, um Passwörter besser zu schützen? b. Werden im Datenbanksystem Prepared Statements genutzt? c. Wurden alle aktiven CommSy-Systeme der Universität Hamburg mit Updates versehen? Es werden regelmäßige Updates durchgeführt.