Kompromittierung von RUB-Accounts möglich

Über das Security-Team des DFN-CERT erhielten wir Meldungen zu RUB-Accounts, die kürzlich im Zusammenhang mit Infostealer-Infektionen auffällig wurden. Wir informieren die betroffenen Nutzenden per E-Mail (Absender: RUB Abuse Handling <abuse@ruhr-uni-bochum.de>).

Wir informieren über entwendete LoginIDs und E-Mail-Adressen sowie Server/IT-Dienste, bei denen Zugangsdaten Verwendung finden.

Uns wurden keine Passwörter und/oder Passwort-Schnipsel gemeldet - daher ist eine Überprüfung auf Echtheit und Aktualität der Daten nicht möglich. Die Zugangsdaten wurden laut Auskunft von Sicherheitsbehörden und DFN-CERT zwischen Mitte 2025 und Februar 2026 verwendet.

Welches Risiko besteht für gemeldete Accounts?

Die Echtheit und Aktualität der Daten ist derzeit unklar. In der Gesamtbetrachtung der uns gemeldeten Daten gehen wir allerdings davon aus, dass ein großer Teil der Daten von mit Schadcode ("Infostealer") infizierten IT-Systemen stammen - ein Teil der Daten ist möglicherweise veraltet oder nicht valide. 

Bei infizierten Systemen kann es sich um dienstliche wie auch private IT-Systeme handeln. Eine sorgfältige Untersuchung der IT-Systeme ist daher unerlässlich, um Gefährdungen auszuschließen.

Was sollten Sie tun, wenn Sie von uns informiert wurden?

In unserer Benachrichtigung informieren wir Sie über die notwendigen Schritte. Bitte folgen Sie den Hinweisen zur Untersuchung Ihrer IT-Systeme und Passwort-Aktualisierung.

Bitte beachten Sie, dass Passwortänderungen nicht auf infizierten Systemen erfolgen dürfen. 

Von Beschäftigten der RUB erwarten wir die Rückmeldung zu getroffenen Maßnahmen.

Informationen für Nutzer bei Verdacht auf Infektion mit Schadcode (Malware) finden Sie auf unserer Webseite: https://www.informationssicherheit.ruhr-uni-bochum.de/is/tipps/edr-info+nutzer.html.de

Den Link und weitere Hinweise zur Passwort-Änderung finden Sie bei IT.SERVICES: https://www.it-services.ruhr-uni-bochum.de/services/ias/rub-loginid.html.de