Ein massiver Datendiebstahl erschüttert die Universität Graz. Rund 47,2 Gigabyte sollen entwendet worden sein, darunter so heikle Informationen wie Prüfungsnoten samt dazugehörigem Namen des Studenten, Prüfungsfragen, Zutrittsberechtigungen und Budgetinformationen. Die Uni Graz habe am 28. Dezember von dem Datenleck erfahren, seitdem prüfe die IT-Abteilung, wie der Angreifer in das System eindringen konnte, hieß es. Betroffen sein könnten mehrere hundert (ehemalige) Studenten, da sich Ordner mit Prüfungsnoten mehrerer Professoren in der Datei befinden.

Zugriff durch Insider?

Die Indizien deuten darauf hin, dass es sich weniger um einen Hack als um einen Insiderjob gehandelt hat. Vizerektor Peter Riedler gab gegenüber der Ö1-Sendung "Digital leben" an, dass "ein Passwort" verwendet worden sei, das aber nicht aktuell sei. Auf Anfrage des STANDARD bestätigte er, dass eine "persönlich motivierte Geschichte" nicht ausgeschlossen werden könne.

In einem "Bekennerschreiben", das im Netz kursiert, attackiert der Datendieb eine Mitarbeiterin der IT-Abteilung scharf. Außerdem brüstet der mutmaßliche Täter sich damit, "70.000 Password-Hashes von 70.000 Druckerbenutzern", "interne Security-Dokumente" sowie "alle Firewalls und Firewall-Einstellungen" erbeutet zu haben. Das dementiert die Uni Graz allerdings: "So viele Studenten und Mitarbeiter haben wir gar nicht."

Polizei ermittelt

Das Hackerkollektiv Anonymous Österreich distanzierte sich auf Twitter von der Aktion, auch wenn der Bekenner mit "Anonymous" unterschreibt. Die Uni Graz hat mittlerweile betroffene Personen informiert. So sind beispielsweise auch Bankverbindungen von Lehrenden unter den Daten zu finden. Dabei handelt es sich rechtlich nicht um "sensible" finanzielle oder personenbezogene Daten. Allerdings wird sich die Universität in den nächsten Tagen einige Fragen zu ihren IT-Sicherheitsmaßnahmen stellen müssen. Daten wie Prüfungsnoten sollten etwa verschlüsselt werden, damit Unberechtigte nicht darauf zugreifen können. "Das Gute daran ist, dass wir einen Anlass haben, unsere Systeme zu schärfen", sagte Vizerektor Riedler. Polizeiliche Ermittlungen laufen.

Laut dem IT-Rechtsanwalt Lukas Feiler von Baker & McKenzie müsste die Uni Graz die betroffenen Studenten unverzüglich informieren. Dabei gelte gesetzlich "der Zeitpunkt, zu dem Kenntnis von dem Vorfall erlangt wird". Die Publikation von Prüfungsnoten könnte einen durchaus schwerwiegenden Eingriff in die Privatsphäre der Betroffenen darstellen, da ihnen etwa bei Bewerbungen ein Schaden drohe. Auch bei Kontodaten besteht Notifikationspflicht, da etwa beim Onlinehandel schon mit Name und Kontonummer bestellt werden kann.

Ab 2018 drohen Strafen

Wäre der Vorfall nach Inkrafttreten der neuen EU-Datenschutzverordnung im Frühjahr 2018 erfolgt, hätten der Uni Graz schwerwiegende Konsequenzen gedroht. Für Unternehmen sieht die Verordnung laut Feiler "sehr schmerzhafte Strafen in der Höhe von bis zu vier Prozent des Jahresumsatzes" vor. Wie das bei Körperschaften öffentlichen Rechts wie der Uni Graz geregelt ist, muss in Österreich noch entschieden werden. Jedenfalls bestünde bei Kenntnis des Datendiebstahls auch eine Informationspflicht gegenüber der Datenschutzbehörde, die momentan nicht benachrichtigt werden muss.

Nach Bekanntwerden des Datendiebstahls in der Szene gab es laut Riedler "eine Reihe von versuchten Hackerangriffen", die aber allesamt abgewehrt werden konnten. Im Bildungsbereich hatte zuletzt im Februar 2014 die Entwendung von Schülerdaten für Aufsehen gesorgt. Damals waren mehr als 400.000 Testergebnisse öffentlich geworden, die das Bundesinstitut für Bildungsfragen gespeichert hatte. (fsc, 7.1.2016)