Aktuelles

03/09/2020

FAQ IT-Sicherheitsvorfall Studienstiftung

Wann ist sicher, dass der IT-Sicherheitsfalls behoben ist? Warum erhalte ich weiterhin Phishing-E-Mails mit gefälschtem Absender „Studienstiftung“?

Vom Schadprogramm wurden E-Mails abgezogen, durch die es auch weiterhin zu Phishing-Mails kommen kann, für die auch keine zeitliche Prognose gegeben werden kann. Der IT-Sicherheitsvorfall in der Studienstiftung wurde bei Bekanntwerden am 28. Juli mit Einsatz entsprechender IT-Maßnahmen umgehend eingedämmt, an die zuständigen Aufsichtsbehörden gemeldet und unter Zuzug externer IT-Experten eingehend untersucht. Nach Stand der bisherigen Forensik und Analyse sind keine Daten der Studienstiftung verschlüsselt oder gelöscht worden; weitere Daten oder Systeme der Studienstiftung sind nicht kompromittiert. Es gibt keine Anzeichen dafür, dass die Nutzung unserer internen Plattformen (z. B. das Forum Studienstiftung und das Daidalosnet) sowie die durch diese Plattformen bereitgestellten Funktionen (beispielsweise Upload Studienberichte) unsicher wären.

Ist eine Abschätzung dafür möglich, welche Daten entwendet wurden? Sind auch persönliche Daten betroffen, die über die E-Mail-Adressen hinausgehen?

Die Schadsoftware Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus infizierten Rechnern aus. Diese Informationen werden zur weiteren Verbreitung des Schadprogramms genutzt. Sollten Sie daher auf den Anhang / Link aus einer gefälschten E-Mail der Studienstiftung geklickt haben, ist Ihr System möglicherweise infiziert. Bitte folgen Sie den hier sowie auf der Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI) dargestellten Hinweisen zur Eingrenzung und Behebung des Schadens.

Nach momentaner Kenntnislage [7. August 2020] sind E-Mail-Korrespondenzen und die darin enthaltenen Daten aus einigen wenigen E-Mail-Postfächern der Studienstiftung abgeflossen.

Darüber hinaus werden in größerem Maße existierende, teilweise veraltete oder auch fiktive E-Mail-Absender mit dem Zusatz @studienstiftung für Phishing-Mails mit beliebigem Inhalt verwendet.

Nach aktueller Einschätzung gibt es zum jetzigen Zeitpunkt keine Anhaltspunkte dafür, dass darüber hinaus personenbezogene Daten abgezogen wurden (zum Beispiel aus unserer Datenbank).

Zwischen dem erfolgreichen Angriff und Datenabfluss und dem Einsatz exfiltrierter Daten können mehrere Monate vergehen – eine spätere Nutzung lässt sich daher nicht ausschließen.

Wenn wir Kenntnis erhalten, dass einzelne E-Mail-Korrespondenzen genutzt werden, informieren wir die Betroffenen direkt. Wir bitte Sie weiterhin um möglichst konkrete Hinweise wenn Sie Kenntnis davon erhalten, dass persönliche Daten verwendet werden.

Inwiefern sind Stipendiaten, Ehemalige und Vertrauensdozenten betroffen?

Als aktuell und ehemalige Geförderte sowie ehrenamtlich für die Studienstiftung Engagierte stehen Sie mit der Geschäftsstelle in einem regelmäßigen Austausch: Der Erhalt einer E-Mail von der Studienstiftung ist für Sie erwartbar. Da in den Phishing-E-Mails zudem ein nachvollziehbarer Absendername und teilweise eine plausible Betreffzeile genutzt wird, kann dies sehr leicht zum Öffnen von Nachrichten oder sogar zum Öffnen von Links oder Anhängen führen. Wir bitten Sie daher um erhöhte Wachsamkeit bei E-Mails mit Absender Studienstiftung und haben Ihnen hierfür weiter unten Hinweise zur besseren Erkennung gefälschter E-Mails zusammengestellt.

Nach momentaner Kenntnislage [7. August 2020] sind E-Mail-Korrespondenzen und die darin enthaltenen Daten aus einigen wenigen E-Mail-Postfächern der Studienstiftung abgeflossen.

Nach aktueller Einschätzung gibt es zum jetzigen Zeitpunkt keine Anhaltspunkte dafür, dass darüber hinaus personenbezogene Daten abgezogen wurden (zum Beispiel aus unserer Datenbank).

Sind Passwörter, z.B. für das Daidalosnet oder das Forum Studienstiftung betroffen?

Die individuellen Zugangsdaten zu unseren internen Foren sind nach aktuellem Kenntnisstand nicht betroffen. Sollten Sie einen Anhang/Link aus einer gefälschten E-Mail der Studienstiftung aktiviert haben, ist es möglich, dass die Schadsoftware auf Ihr genutztes Endgerät übertragen wurde. In diesem Fall empfiehlt es sich, sämtliche Passwörter auszutauschen. Bitte informieren Sie sich auch auf der Website des BSI über die Empfehlungen zum Umgang mit Emotet.

Wie informiert die Studienstiftung über den IT-Sicherheitsvorfall?

Seit dem 28.7., als die Schadsoftware in einzelnen Postfächern der Studienstiftung festgestellt wurde, informieren wir mit jeweils aktuellem Stand auf unserer Website. Auch in sämtlichen sicheren internen wie externen Kommunikationskanälen haben wir auf den Sicherheitsvorfall hingewiesen: Intern über das Daidalosnet sowie Forum Studienstiftung, in denen jeweils rund 17.000 sowie über 45.000 Userinnen registriert sind. Extern zusätzlich auf unseren Social Media-Seiten auf Facebook, Instagram und Twitter.

Nach gewissenhafter Prüfung von IT-Sicherheits- und Datenschutzfragen konnten wir uns zusätzlich am 6.8. via E-Mail an über 70.000 aktuell und ehemalig Geförderte sowie Vertrauensdozentinnen und -dozenten wenden.

Die Studienstiftung hat zudem die entsprechenden Aufsichtsbehörden informiert und den Angriff zur Anzeige gebracht.

Was kann ich tun, wenn die Weiterleitung der infizierten E-Mails nicht funktioniert?

Falls eine Weiterleitung der Phishing-E-Mail nicht funktioniert, können Sie uns in Form einer E-Mail an faq[at]studienstiftung[dot]de bitte kurz den Sachverhalt beschreiben. Bitte fügen Sie dem, wenn möglich, einen Screenshot bei. Dies erleichtert die weitere Aufklärung. Alternativ können Sie uns gerne auch nur den Screenshot übermitteln, ohne weitere Erläuterungen.

Inwiefern sind Studienberichte betroffen?

Wenn Sie Studienberichte über das Daidalosnet hochgeladen haben, waren sie nicht Teil eines E-Mail-Verkehrs und sind damit nach aktuellem Kenntnisstand nicht betroffen.

Woran kann ich erkennen, ob eine E-Mail nicht von der Studienstiftung ist?

  • Die Nachricht enthält in der Regel keine persönliche Anrede oder ist in einer für die Studienstiftung unüblichen Art formuliert.
  • Die E-Mails sind häufig auf Englisch verfasst – E-Mails der Studienstiftung sind in der Regel auf Deutsch.
  • In der Absenderadresse steht neben dem Namen einer Mitarbeiterin / eines Mitarbeiters der Studienstiftung eine Mailadresse, deren Zusammensetzung und Domain Hinweise liefert, dass es keine offizielle Studienstiftungsmail ist. Oftmals besteht die Mailadresse aus einer unzusammenhängenden Buchstaben- und Zahlenfolge.
  • Die Betreff-Zeile enthält nur ungenaue Angaben.
  • Fragen Sie sich: Erwarten Sie eine solche Nachricht von der Studienstiftung oder von der Person? Passt der Inhalt zu den Nachrichten, die Sie sonst üblicherweise von uns erhalten? Wenn Sie unsicher sind, ob eine E-Mail echt ist, empfehlen wir Ihnen, Links oder Dateien in der E-Mail nicht anzuklicken und Kontakt mit der Studienstiftung aufzunehmen: faq[at]studienstiftung[dot]de.

Bitte beachten Sie: Uns liegen inzwischen auch Beispiele gefälschter E-Mails vor, die in Ansprache, Betreff und Text reale Textbausteine aus dem Studienstiftungskontext verwenden. Bitte prüfen Sie daher vor allem, ob die Absenderadresse (einzusehen durch einen (Doppel)-Klick bzw. Mouseover auf die Adresse in der „Von“- bzw. Absenderzeile) ob die Absenderadresse auch mit dem angezeigten Absender übereinstimmt.

Was muss ich tun, wenn ich eine E-Mail mit verdächtigem Inhalt oder unbekanntem Absender erhalte?

Wir empfehlen wir Ihnen, die folgenden Sicherheitshinweise zu beachten:

  • Öffnen Sie keine Anhänge und führen Sie keine mitgelieferten Dateien aus.
  • Klicken Sie auf keinen Internetlink in der E-Mail.
  • Antworten Sie auf keinen Fall dem Absender.
  • Geben Sie niemals persönliche Daten ein, wenn Sie sich nicht sicher sind, dass Sie sich auf der gewünschten Internetseite befinden (etwa über einen Link in einer gefälschten E-Mail).

Was kann ich tun, wenn ich die Vermutung habe, eine Phishing-Mail erhalten zu haben, welche sich als Mail der Studienstiftung ausgibt?

Sie helfen uns bei der Analyse sehr, wenn Sie diese Mail als Anhang an folgende Adresse weiterleiten: faq[at]studienstiftung[dot]de. Die reine Weiterleitung ist für Sie ungefährlich, in keinem Fall sollten Sie bei Phishing-Mails jedoch mitgesandte Dateien oder Links anklicken. Schon jetzt bedanken wir uns sehr für Ihre Unterstützung. Auch bei weiteren Anliegen oder Rückfragen bezüglich des IT-Vorfalls können Sie sich sehr gern an die genannte Mailadresse wenden.

Was kann ich tun, wenn ich betroffen bin oder wenn ich befürchte, meinen Rechner mit der Schadsoftware infiziert zu haben?

  • Informieren Sie Ihr Umfeld über die Infektion, denn Ihre Mailkontakte sind in diesem Fall besonders gefährdet.
  • Ändern Sie alle auf den betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherten und eingegebenen Zugangsdaten.
  • Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor. Sollte Ihr Rechner mit Schadsoftware wie Emotet infiziert sein, dann empfiehlt das BSI, diesen Rechner neu aufzusetzen

(Quelle: Bundesamt für Sicherheit der Informationstechnik, BSI)

 

Stand: 3.9.2020, 10 Uhr