Blackbaud Hack: Die Daten der Aberystwyth University wurden im globalen Hack angegriffen

Eine walisische Universität hat bestätigt, dass es sich um eine von mehr als 20 Institutionen in Großbritannien, den USA und Kanada handelt, die betroffen sind, nachdem Hacker einen Cloud-Computing-Anbieter angegriffen haben.

Die Aberystwyth University hat aktuellen Studenten und Alumni versichert, dass bei dem Angriff "keine Bankkonto- oder Kreditkartendaten erfasst wurden".

Der Hack richtete sich gegen Blackbaud, einen führenden Anbieter von Software für das Finanzmanagement und die Verwaltung von Bildungseinrichtungen.

Der Ransomware-Angriff ereignete sich im Mai.

Aberystwyth University wird "dringend untersucht", nachdem bestätigt wurde, dass der Hack "ein Webportal und ein Informationsmanagementsystem für Alumni und Unterstützer der Universität betroffen hat".

Blackbaud, ein in den USA ansässiges Unternehmen, wurde dafür kritisiert, dass es das Hacken seiner Systeme erst im Juli extern offengelegt und den Hackern ein nicht bekannt gegebenes Lösegeld gezahlt hat.

Bei einigen Angriffen auf andere Universitäten beschränkten sich die Daten auf die Daten ehemaliger Studenten, die gebeten worden waren, die Einrichtungen, an denen sie ihren Abschluss gemacht hatten, finanziell zu unterstützen. In anderen Fällen wurde es jedoch auf Mitarbeiter, bestehende Studenten und andere Unterstützer ausgedehnt.

"Zusicherungen"

Ungefähr 10.000 Studenten studieren jedes Jahr an der 148 Jahre alten Einrichtung in Mittelwales. Die Universität gab an, versichert zu haben, dass "die gestohlenen Daten jetzt zerstört wurden und keinen Grund zu der Annahme haben, dass sie missbraucht wurden".

"Blackbaud hat zugesichert, dass keine Bankkonto- oder Kreditkartendaten erfasst wurden", sagte ein Sprecher der Universität.

"Wir nehmen die Datensicherheit sehr ernst. Wir untersuchen diesen Vorfall dringend und warten auf weitere Details von Blackbaud.

"Wir sind dabei, die Benutzer und Empfänger unserer E-Newsletter für Alumni und Unterstützer des Online-Portals zu kontaktieren, von denen wir glauben, dass sie betroffen sind."

Die Universität hat den Verstoß dem Büro des Informationskommissars gemeldet und erklärt, dass sie "bei allen weiteren Schritten, die sie unternehmen möchten, uneingeschränkt kooperieren wird".

Andere Institutionen sind ebenfalls betroffen, darunter die University of York, die Loughborough University, die University of London und das University College in Oxford.

Feste "bezahlte Lösegeldforderung"

Blackbaud, dessen Hauptsitz sich in South Carolina befindet, lehnte es ab, eine vollständige Liste der Betroffenen vorzulegen, und erklärte, es wolle "die Privatsphäre unserer Kunden respektieren".

"Die Mehrheit unserer Kunden war nicht an diesem Vorfall beteiligt", behauptete das Unternehmen.

Es verwies auf die BBC zu einer Erklärung auf ihrer Website: "Im Mai 2020 haben wir einen Ransomware-Angriff entdeckt und gestoppt. Bevor wir den Cyberkriminellen aussperrten, entfernte der Cyberkriminelle eine Kopie einer Teilmenge von Daten aus unserer selbst gehosteten Umgebung."

In der Erklärung heißt es weiter, Blackbaud habe die Lösegeldforderung bezahlt. Dies ist nicht illegal, widerspricht jedoch dem Rat zahlreicher Strafverfolgungsbehörden, darunter FBI, NCA und Europol.

Blackbaud fügte hinzu, dass ihm "die Bestätigung gegeben wurde, dass die von ihnen entfernte Kopie (der Daten) zerstört wurde".

Blackbaud hat angekündigt, mit Strafverfolgungsbehörden und Ermittlern Dritter zusammenzuarbeiten, um beispielsweise zu überwachen, ob die Daten im dunklen Internet verbreitet oder verkauft werden.

Datenschutzrecht

Gemäß der Allgemeinen Datenschutzverordnung (DSGVO) müssen Unternehmen den Datenschutzbehörden innerhalb von 72 Stunden nach Kenntnisnahme eines Vorfalls einen erheblichen Verstoß melden – oder mit potenziellen Bußgeldern rechnen.

Das britische Information Commissioner's Office (ICO) sowie die kanadischen Datenbehörden wurden am vergangenen Wochenende über den Verstoß informiert – Wochen nachdem Blackbaud den Hack entdeckt hatte.

Eine ICO-Sprecherin sagte: "Blackbaud hat dem ICO einen Vorfall gemeldet, der mehrere Datencontroller betrifft. Wir werden sowohl Blackbaud als auch die jeweiligen Controller untersuchen und alle betroffenen Controller ermutigen, zu bewerten, ob sie den Vorfall dem ICO einzeln melden müssen . "