Weil die Daten bereits knapp sechs Jahre alt sind, aber erst kürzlich im Darknet veröffentlicht wurden, ist die Anzahl der Betroffenen gering, die aktiv werden müssen.
„Wir haben zuallererst die betroffenen Angehörigen der Universität informiert“, erklärt Prof. Dr. Martin Mauve, Prorektor für Digitalisierung und wissenschaftliche Infrastruktur. „Die gute Nachricht ist: Wer nicht zu den 800 Personen gehört, deren Passworthash veröffentlicht wurde, muss nichts unternehmen. Das Gleiche gilt für alle, die das eigene HHU-Passwort seit 2017 geändert haben. Lediglich 261 der 4.500 Datensätze verweisen auf Passworthashes, deren Passwörter seit 2017 nicht aktualisiert wurden und zu denen noch aktive Kennungen an der HHU existieren. Diese Personen müssen ihre Passwörter ändern und sind darüber auch schon informiert.“
Zudem seien Passworthashes nicht gleichbedeutend mit Klartextpasswörtern, erläutert Prorektor Mauve. „Es besteht allerdings die theoretische Möglichkeit, dass insbesondere unsichere Passwörter mithilfe des im Datensatz enthaltenen Hashs entschlüsselt werden. Dafür ist allerdings Hintergrundwissen und viel Rechenleistung erforderlich.“ Die HHU empfiehlt ihren Mitgliedern und Angehörigen seit Jahren über interne Kommunikationskanäle, ein sicheres Passwort für die eigene Uni-Kennung zu wählen.
Die personenbezogenen Daten sind Ende Januar 2023 im Darknet zum Kauf angeboten worden. Ein Internet-Nutzer hat daraufhin die Pressestelle der HHU informiert. IT-Fachleute der Universität haben den Server eines ehemaligen IT-Dienstleisters als Quelle der Daten identifiziert; die Schwachstelle konnte unverzüglich geschlossen werden.
Informationen zur IT-Sicherheit an der HHU auf der Website des Zentrums für Informations- und Medientechnologie (ZIM).
Hintergrund: Passworthash
Ein Passworthash wird zur Identitätsprüfung genutzt. Dazu wird das eigentliche Passwort durch eine sogenannte kryptologische Hashfunktion in eine scheinbar zufällige Folge von Zeichen übersetzt: den Passworthash. In Authentifizierungssystemen wird in der Regel nicht das Passwort selbst abgespeichert, sondern nur dessen Hash. Bei der Identitätsprüfung wird dann mittels der gleichen Hashfunktion aus dem vom Nutzer eingegebenen Passwort der Hash berechnet und mit dem im System gespeicherten Hash verglichen.