Ransomware-Angriff auf Mount Royal University trifft Daten von Studierenden und Mitarbeitenden

Ein Ransomware-Angriff auf die Mount Royal University (MRU) in Calgary hat persönliche Daten von Studierenden und Mitarbeitenden kompromittiert und wirft dringende Fragen auf, wie Hochschulen mit der Offenlegung von Sicherheitsverletzungen umgehen und welche Schutzpflichten sie gegenüber den am stärksten Betroffenen haben. Die Universität hat bestätigt, dass bei dem Angriff Unternehmensdaten entwendet wurden, doch die Entscheidung, Kreditüberwachung nur für Mitarbeitende und nicht für Studierende anzubieten, stößt auf Kritik und lässt viele fragen, ob ihre Daten wirklich sicher sind.

Dieser Vorfall ist kein Einzelfall. Das Muster aus Ransomware-Angriffen und Datenschutzverletzungen an Universitäten gehört seit Jahren zu den beständigsten Geschichten der Cybersicherheit, denn Hochschulen stehen unter unablässigem Druck krimineller Gruppen, die Campusse als hochwertige und oft unzureichend geschützte Ziele betrachten.

Warum Universitäten hochwertige Ziele für Ransomware sind

Universitäten befinden sich an einer ungewöhnlichen Schnittstelle: Sie speichern große Mengen sensibler persönlicher, finanzieller und Forschungsdaten, arbeiten jedoch in offenen, kollaborativen Netzwerkumgebungen, die Zugang über Einschränkung stellen. Ein Krankenhaus oder eine Bank kann aggressive Zugriffskontrollen rechtfertigen; von einem Universitätscampus wird erwartet, dass er von Grund auf offen ist.

Diese Offenheit schafft strukturelle Schwachstellen. Studierende, Lehrende, Auftragnehmer und Gastwissenschaftler verbinden sich mit denselben Netzwerken, oft mit privaten Geräten und uneinheitlichen Sicherheitskonfigurationen. Die IT-Teams der meisten Hochschulen sind im Verhältnis zur Größe der von ihnen verwalteten Infrastruktur unterbesetzt. Und da Universitäten oft sowohl geistiges Eigentum als auch persönliche Aufzeichnungen speichern, können Ransomware-Gruppen mit der Veröffentlichung beider Datenkategorien drohen und so ihren Druck maximieren.

Das finanzielle Kalkül der Angreifer ist einfach. Universitäten werden ihren Betrieb kaum vollständig einstellen, was bedeutet, dass starker Druck besteht, zu zahlen oder zu verhandeln. Und anders als private Unternehmen haben sie oft öffentlich einsehbare Führungsstrukturen, Einschreibezahlen und Finanzierungsquellen, anhand derer Angreifer abschätzen können, wie viel Druck sie ausüben können.

Welche Daten an der Mount Royal University kompromittiert wurden

Die MRU hat bestätigt, dass bei dem Angriff Unternehmensdaten der Universität sowie persönliche Informationen von Studierenden und Mitarbeitenden entwendet wurden. Die Universität warnt, dass eine vollständige Analyse, auf was genau zugegriffen wurde, mehrere Wochen oder Monate dauern könnte – eine häufige und frustrierende Realität nach Ransomware-Vorfällen. Forensische Untersuchungen sind langsam, und Angreifer hinterlassen nicht immer klare Aufzeichnungen darüber, was sie exfiltriert haben.

Bereits klar ist, dass in der Reaktion der MRU die Daten der Mitarbeitenden anders behandelt wurden als die der Studierenden. Die Universität bietet Mitarbeitenden Kreditüberwachung an, Studierenden jedoch nicht, mit der Begründung, dass die Daten der Studierenden nicht dasselbe finanzielle Risikoprofil aufwiesen. Diese Unterscheidung sollte sorgfältig hinterfragt werden.

Warum die Entscheidung, Studierenden die Kreditüberwachung zu verweigern, Warnsignale auslöst

Das Argument der MRU, dass Studierendendaten ein geringeres Risiko darstellen als Mitarbeitendendaten, setzt voraus, dass die Hauptgefahr einer Datenschutzverletzung unmittelbarer Finanzbetrug ist – genau die Art, die Kreditüberwachung erkennen soll. Doch Studierendenakten enthalten in der Regel Namen, Geburtsdaten, Studierendenausweisnummern, Kontaktdaten und in vielen Fällen den Aufenthaltsstatus, die Einschreibehistorie sowie Zahlungsaufzeichnungen. Das ist ein umfangreicher Datensatz für Identitätsdiebstahl, selbst wenn das unmittelbare Betrugsrisiko anders aussieht als bei einem gestohlenen Gehaltsdatensatz.

Kreditüberwachung ist zugegebenermaßen kein perfektes Instrument, und ihr Wert hängt davon ab, welche Daten tatsächlich entwendet wurden. Doch die Entscheidung, Studierende von diesem Schutz auszuschließen, ohne eine vollständige forensische Prüfung des Kompromittierten abgeschlossen zu haben, ist eine bedeutsame Ermessensentscheidung. Studierende sind oft jünger, haben möglicherweise kürzere Kredithistorien und sind weniger erfahren darin, die Warnsignale von Identitätsmissbrauch zu erkennen. Sie haben außerdem weniger institutionelle Ressourcen, um zu reagieren, wenn Monate später etwas schiefgeht.

Universitäten haben eine Fürsorgepflicht gegenüber den Menschen, die ihnen persönliche Daten anvertrauen. Diese Pflicht verringert sich nicht, weil die betroffene Person eingeschrieben statt angestellt ist.

Schritte, die Studierende und Mitarbeitende jetzt zu ihrem Schutz ergreifen können

Unabhängig davon, ob die MRU formelle Schutzmaßnahmen auf Studierende ausweitet – von diesem Vorfall Betroffene sollten sofort selbst aktiv werden. Abzuwarten, bis eine Einrichtung ihre Analyse abgeschlossen hat, was Monate dauern kann, ist keine tragfähige Schutzstrategie.

Überprüfen Sie Ihre Konten auf ungewöhnliche Aktivitäten. Prüfen Sie Bankkonten, Kreditkarten und alle mit Ihrer Studierenden- oder Mitarbeiter-E-Mail-Adresse verknüpften Finanzkonten. Richten Sie Transaktionsbenachrichtigungen ein, falls Ihre Bank diese anbietet.

Ändern Sie die mit Ihren Universitätskonten verbundenen Passwörter. Wenn Sie Passwörter dienstübergreifend wiederverwenden, ändern Sie diese ebenfalls. Nutzen Sie einen Passwort-Manager, um für jedes Konto einzigartige Zugangsdaten zu generieren und zu speichern.

Seien Sie wachsam gegenüber Phishing-Versuchen. Ransomware-Gruppen verkaufen oder verwenden gestohlene Daten oft, um gezielte Phishing-E-Mails zu verfassen. Seien Sie skeptisch bei jeder Kommunikation, die Sie auffordert, einen Link anzuklicken oder persönliche Daten zu verifizieren, selbst wenn sie von einer vertrauenswürdigen Quelle zu stammen scheint.

Ziehen Sie eine Kreditsperre in Betracht. In Kanada können Sie eine Kreditsperre oder einen Betrugsalarm bei Equifax und TransUnion beantragen. Anders als eine Kreditüberwachung verhindert eine Sperre aktiv, dass in Ihrem Namen ohne Ihre ausdrückliche Genehmigung neue Kredite eröffnet werden.

Nutzen Sie ein VPN auf dem Campus und in öffentlichen Netzwerken. Campus-WLAN-Umgebungen können überwacht oder kompromittiert werden. Ein seriöses VPN zu verwenden, wenn Sie auf sensible Konten in Universitätsnetzwerken zugreifen, fügt eine Verschlüsselungsebene hinzu, die es erschwert, dass jemand im selben Netzwerk Ihren Datenverkehr abfängt. Dies ist eine praktische Gewohnheit für alle Studierenden und Mitarbeitenden, unabhängig von einem konkreten Vorfall.

Beobachten Sie Ihre Daten über einen längeren Zeitraum. Gestohlene Daten werden oft nicht sofort genutzt. Setzen Sie sich eine Erinnerung, um Ihre Kreditauskunft im kommenden Jahr alle paar Monate zu überprüfen, und achten Sie auf unerwartete Kontoeröffnungen oder -änderungen.

Was das für Sie bedeutet

Der Ransomware-Angriff und die Datenschutzverletzung an der Mount Royal University sind eine Mahnung, dass Cybersicherheitsvorfälle an Einrichtungen reale, persönliche Konsequenzen für die Menschen haben, die keine andere Wahl hatten, als ihre Daten für die Einschreibung oder die Arbeit dort preiszugeben. Die forensische Untersuchung dauert an, und das vollständige Bild dessen, was kompromittiert wurde, wird monatelang unklar bleiben können.

Wenn Sie Studierende:r oder Mitarbeiter:in der MRU sind, ergreifen Sie die obigen Schritte jetzt, anstatt auf den Abschluss der universitären Überprüfung zu warten. Und auch wenn Sie an einer anderen Hochschule studieren oder arbeiten, ist dieser Vorfall ein Anlass, Ihre eigenen digitalen Gewohnheiten zu überprüfen. Campusnetzwerke sind gemeinschaftlich genutzte Umgebungen, und Ihre persönliche Sicherheitslage ist unabhängig davon wichtig, was Ihre Einrichtung bereitstellt oder nicht. Zu prüfen, wie Sie diese Netzwerke nutzen – einschließlich der Frage, ob ein VPN in Ihr Standardrepertoire gehört –, ist ein praktischer Schritt, der wenig kostet und einen bedeutsamen Unterschied machen kann.