IT-Angriff auf die TU – Arbeitsfähigkeit erhalten

Die TU ist Opfer eines IT-Angriffs geworden, viele Dienste sind aus Sicherheitsgründen seit Freitag, dem 29. April abgeschaltet und es wird intensiv an einer Wiederherstellung der Services gearbeitet.

Wie kann die temporäre Arbeitsfähigkeit datenschutzkonform sichergestellt werden?

Kommunikation aufrecht erhalten: E-Mail, Telefon, Chat …

Für den Austausch zwischen TU-Mitgliedern stehen weiterhin einige Dienste zur Verfügung, für die Kommunikation mit Externen muss leider improvisiert werden. Einige zentrale Services stehen weiter zur Verfügung, auch eine Authentifizierung mit dem TU-Account ist zumeist möglich.

  • E-Mail:
    • Der Exchange-Server der TU ist weiterhin abgeschaltet, so dass weder persönliche @tu-berlin.de E-Mail-Adressen noch Postfächer funktionieren.
    • Wir empfehlen daher dass TU-Mitglieder sich temporär bei datenschutzfreundlichen E-Mail-Anbietern einen Account anlegen, nähere Informationen dazu weiter unten auf dieser Seite.
    • In der zweiten Maiwoche wird von der TU Berlin eine E-Mail-Funktion für alle TU Mitglieder bereitgestellt.
  • Telefonisch: Die Telefonanlage funktioniert weiterhin, so dass Sie im Home-Office erreichbar sind, sofern Sie eine Telefonweiterleitung eingerichtet haben.
  • Chats
    • Studierende können Matrix chat.tu-berlin.de  nutzen, die Chat-Funktion in ISIS ist auch eine Option.
    • Für die dienstliche Kommunikation können TU-Angehörige Webex Teams teams.webex.com einsetzen.
    • Vermeiden Sie die Nutzung von Messengern und sozialen Medien zum dienstlichen Austausch, einerseits, da dafür zumeist private Telefonnummern oder Profile genutzt und andererseits weil bei vielen Diensten Daten und Metadaten nicht ausreichend geschützt und zudem außerhalb des Geltungsbereiches der DSGVO verarbeitet werden.
  • Videokonferenzen:
    • Zoom ist weiterhin nutzbar, für Lehrveranstaltungen können die Zugangsdaten weiterhin über ISIS isis.tu-berlin.de kommuniziert werden.
    • Webex Meetings kann weiterhin genutzt werden, über das Webfrontend tu-berlin.webex.com können Videokonferenzen geplant und Teilnehmer*innen eingeladen werden, die angesetzten Termine können in Webex Meetings und Teams eingesehen und gestartet werden.
  • Webseiten: Der Internetauftritt der TU ist zwar weiterhin erreichbar, auf die Redaktionsplattform Typo3 können allerdings derzeit nur wenige Redakteur*innen zugreifen.
  • Dokumente teilen:
    • Teilen Sie Dokumente mit Webex Teams in sogenannten Spaces/Bereichen.
    • Zum Austausch von Dateien mit TU-Externen können Sie GigaMove nutzen: www.campusmanagement.tu-berlin.de/menue/dienste/daten_server/gigamove/
    • Datenschutzrechtlich unzulässig sind US-amerikanische Cloud-Dienste wie Dropbox, GoogleDocs oder OneDrive – teilen Sie darüber in keinem Fall personenbezogene Daten.

E-Mail-Anbieter auswählen und für passenden Dienst anmelden

Wir empfehlen allen TU-Angehörigen, die bis zur Wiederinbetriebnahme eines E-Mail-Dienstes nach außen per E-Mail kommunizieren möchten, einen temporären E-Mail-Account bei einem datenschutzfreundlichen E-Mail-Anbieter aus dem Geltungsbereiches der DSGVO anzulegen, wozu neben den EU-Mitgliedsstaaten der EWR (mit Norwegen, Liechtenstein und Island) sowie weitere Länder wie die Schweiz und Großbritannien gemäß eines Angemessenheitsbeschlusses der EU Kommission gehören.

Nutzen Sie möglichst nicht Ihre private E-Mail-Adresse dafür, da diese dann möglicherweise einem größeren Personenkreis bekannt wird.

Achten Sie bei der Auswahl auf:

  1. Wählen Sie nur Anbieter, die Daten ausschließlich innerhalb der EU / des EWR verarbeiten: Datenschutzrechtlich unzulässig sind beispielsweise E-Mail-Adressen US-amerikanischer Unternehmen wie Gmail, Hotmail, Outlook.com oder Yahoo.
  2. Problematisch sind auch Freemailer, die sich in Ihren Nutzungsbedingungen die Auswertung Ihrer Kontakte und E-Mail-Kommunikation einräumen lassen oder personenbezogene Daten an Werbepartner weitergegeben werden, wie GMX, Web.de, Mail.de oder Freenet.
  3. Achten Sie darauf, dass der Account auch für eine persönliche dienstliche Nutzung zugelassen ist – bei kostenlosen Accounts ist diese oft ausgeschlossen oder diese sind funktionell beschränkt, einige Beispiele sind:
    • Bei Tutanota darf der kostenlose Account nicht für dienstliche Zwecke genutzt werden
    • Bei anderen Anbietern ist eine dienstliche Nutzung des kostenlosen Angebots ggf. nicht ausgeschlossen, jedoch ist dann zumeist der Leistungsumfang eingeschränkt, wie z.B. beim Schweizer Anbieter Protonmail
  4. Der Anbieter sollte eine verschlüsselte Kommunikation unterstützen, beispielsweise mit OpenPGP, und Sie sollten die Verschlüsselung dann  einrichten und nutzen. Die Datenschutzkonferenz hat Ihre Anforderungen an E-Mail-Anbieter in einem Diskussionpapier veröffentlicht.

Bitte denken Sie daran, die temporäre externe E-Mail-Adresse nach Wiederinbetriebnahme des Exchange-Servers nicht mehr zu nutzen und löschen Sie dann die dort gespeicherten Daten.

Wir können leider keine Empfehlung für einzelne Anbieter aussprechen, bitten Sie aber darum die genannten Punkte bei der Entscheidung zu berücksichtigen.

Im Kuketz-Blog werden zwei deutsche E-Mail-Anbieter genannt: Posteo und Mailbox.org – jedoch sind beide kostenpflichtig (ab 1€/Monat).

Weitere Informationen

⚐ Updates seit dem 2. Mai

Im Beitrag wurden einige Hinweise angepasst und Nachträge ergänzt, beispielsweise zum Teilen von Dokumenten.

Ergänzung

Da mittlerweile ein temporärer E-Mail-Dienst bereitsteht, sollten die zwischenzeitlich dienstlich genutzten TU-externen E-Mail-Adressen umgehend gelöscht werden.

Aktuelle Informationen

 

 

 

 

 

 

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

6 Gedanken zu „IT-Angriff auf die TU – Arbeitsfähigkeit erhalten“

  1. Liebes Datenschutzteam,
    vielen Dank für die Hinweise!
    Was halten Sie von Cryptpad (https://cryptpad.fr/) für das gemeinsame Bearbeiten und Teilen von Dateien?
    Es ist open source, sitzt nicht in den USA, ist Ende zu Ende verschlüsselt, anonym. Und wie ich finde auch gut zu benutzen.
    Viele Grüße

    1. Liebe Frau Hauß,

      vielen Dank für den Kommentar.

      Es gibt viele Online-Tools, die möglicherweise geeignet sind.
      Das von Ihnen genannte kennen wir nicht und da es bislang nicht über die Personalräte beteiligt wurde ist es auch nicht von uns geprüft. Deshalb darf es für dienstliche Aufgaben leider nicht genutzt werden.

      Über ISIS können Etherpads genutzt werden, und hoffentlich steht uns bald auch wieder die tubcloud zur Verfügung, wo mit Only Office Inhalte gemeinsam bearbeitet werden können.

  2. Zwei Anmerkungen:
    – es ist mE ein unhaltbarer Zustand, dass für viele Studierende auch über einen Monat nach dem Zusammenbruch der IT-Infrastruktur kein Zugriff auf die Notmail haben und deshalb noch immer auf die Benutzung unsicherer oder kostenpflichtiger externer E-Mail Adressen angewiesen sind.
    – der neue Zwang zur Benutzung von webex Teams (bestimmte Informationen werden ausschließlich darüber kommuniziert) führt zu dem Dilemma, entweder das unsichere MS Windows einzusetzen (andere OS werden nicht unterstützt) oder von diesen Nachrichten abgeschnitten zu sein. Die Option der Benutzung im Browser ist ebenfalls nicht praktikabel, da dann ständig Werbung eingeblendet wird.

    1. Hallo M. Levitzka,

      vielen Dank für Deinen Kommentar.

      Das temporäre E-Mail-System steht seit dem 14.5. für alle TU-Mitglieder zur Verfügung, auch für Studierende.

      Webex Teams kann auch direkt im Browser genutzt werden, Werbung wird dabei nicht eingeblendet.

      1. Leider entspricht beides nicht der Wahrheit. Für viele Studierende ist die Benutzung der Notmail noch immer nicht möglich und auch die Hotline kann nicht helfen.

        Für Webex im Browser wird Werbung für Cisco und Microsoft-Produkte eingeblendet und Drittanbieter-Cookies (Tracking) werden verwendet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.