in Vergangenheit hat das T3-Team gemeinsam mit einem Dienstleister an einer Optimierung der TYPO3-SOLR-Suchfunktion gearbeitet. Der Anforderungskatalog umfasste eine deutlich leichtere Auffindbarkeit von Inhalten aller Art sowie eine Filterung nach Inhaltstypen. Problematisch war zudem die mehrfache Ausgabe von beispielsweise News. 

Heute kann ein kleiner Meilenstein verkündet werden: Die Suchfunktion ist erneuert und sucht nun auf unseren rund 11.000 Seiten exakt das, was man finden möchte – natürlich auch auf Microsites. 

• Absender-Domain entspricht nicht dem vermeintlichen Absender (@newvisionopticians.co.uk statt @beispielsubdomain.webgo.de o.ä.)
• Anrede nicht persönlich mit Kundennamen
• Warnung mit Dringlichkeit, um Zeitdruck zu erzeugen
• Link zu völlig anderer Domain (angeblich zur Abonnement-Verlängerung, beim Überfahren mit der Maus sichtbar)

Wenn Sie eine Mail erhalten, die mindestens einige der folgenden Merkmale aufweist, können Sie davon aussgehen, dass diese ein Fake ist.
 

Merkmale von Spam‑ und Fake‑Mails allgemein

• Gefälschter Absender — Spam-Mails nutzen fast immer manipulierte oder unbekannte Absenderadressen, die seriöse Domains nachahmen oder komplett frei erfunden sind.
• Reißerische Betreffzeilen — Formulierungen wie „Sie haben gewonnen!“, „Dringende Warnung!“ oder „Ihr Konto wird gesperrt“ sollen Druck erzeugen und zum schnellen Klicken verleiten.
• Grammatik‑ und Rechtschreibfehler — Viele Fake-Mails sind schlecht übersetzt oder enthalten Zeichensatzfehler (z. B. kyrillische Buchstaben).
• Unpersönliche Anrede — Statt Ihres Namens steht dort „Sehr geehrter Kunde/Nutzer“. Seriöse Anbieter sprechen Sie fast immer persönlich an.
• Fremde Sprache — Wenn Sie normalerweise deutschsprachige Kommunikation erwarten, sind englische oder französische Mails ein Warnsignal.
• Verdächtige Links — Der sichtbare Linktext stimmt nicht mit der tatsächlichen URL überein (erkennbar beim Darüberfahren mit der Maus).
• Unerwartete Anhänge — Besonders Office‑Dokumente mit Makros, ZIP‑Dateien oder ausführbare Dateien (.exe) sind typische Malware-Träger.
• Druck und Dringlichkeit — „Antworten Sie innerhalb von 24 Stunden!“ oder „Ihr Konto wird sofort gesperrt!“ sollen Panik erzeugen.
• Aktuelle Ereignisse als Köder — Betrüger nutzen Nachrichtenlagen, Bankthemen oder Paketbenachrichtigungen, um Echtheit vorzutäuschen.
• Unerwartete Forderungen oder Drohungen — Erpressungsmails behaupten oft, kompromittierendes Material zu besitzen.

Spam und Phishing sind heute die häufigsten Einfallstore für Malware und Datendiebstahl. Über 90 % aller Phishing-Angriffe beginnen mit einer E-Mail.
Je mehr dieser Merkmale eine Mail aufweist, desto wahrscheinlicher ist sie betrügerisch.

Aktuell gibt es bei der Hauptkasse des Freistaates Sachsen eine Softwareumstellung und die Semesterbeiträge können nicht in gewohnter Weise innerhalb von 10 Werktagen an die HTWK Leipzig weitergeleitet werden. An einer Lösung wird seitens der Hauptkasse mit Hochdruck gearbeitet.

Bitte überweisen Sie trotzdem, falls noch nicht geschehen, in gewohnter Weise Ihren Semesterbeitrag. 
Die Zahlungsdaten (Kontoverbindung, Verwendungszweck usw.) entnehmen Sie bitte ihrem Account im Studienportal oder dieser Website:

https://www.htwk-leipzig.de/studieren/im-studium/rueckmeldung-und-beurlaubung

• OpenAI GPT 4o
• OpenAI GPT 4o mini
• GWDG Meta Llama 3.1 8b Instruct
• GWDG Meta Llama 3.1 70b Instruct
• GWDG Mistral Large Instruct
• GWDG Qwen 2.5 72b Instruct
• GWDG DeepSeek R1 Distill Llama 70B
• GWDG Codestral 22b

Die Anmeldung erfolgt mit HTWK-Login und Passwort. Der Zugriff ist über das Hochschulnetz oder per VPN möglich. Eine Anleitung für HAWKI2 finden Sie unter https://bs.htwk-leipzig.de/books/hawki/page/erster-login-bei-hawki2

Die vorherige Version von HAWKI steht noch bis Ende Juni unter https://hawki.htwk-leipzig.de zur Verfügung, der Link wird danach ebenfalls auf die neue Version verweisen.

Weiterführende Informationen sowie Hinweise zur Nutzung von KI finden Sie auf den Seiten des ITSZ unter https://itsz.htwk-leipzig.de/dienste/ki-werkzeuge und auf den Seiten der Entwickler von HAWKI unter https://www.hawki.info/

Die Lernplattform OPAL wird in dieser Zeit nicht verfügbar sein.

Das Nutzerinterface basiert auf der bewährten Opensource-Software "HAWKI", die von der HAWK Hildesheim entwickelt wurde. Es ermöglicht den sicheren Zugriff auf mehrere KI-Modelle einschließlich großer Opensource-LLMs und Chat GPT-4o. Auch gezieltes Prompting ist möglich, so in den vorgeschlagenen Themenfeldern „wissenschaftliches Arbeiten“, „Organisation“ und „Kreativität“.

„Ich freue mich, dass das Rektorat den Beschluss gemeinsam mit dem ITSZ und in Zusammenarbeit mit der zentralen Verwaltung so zügig umsetzen konnte und danke den Kolleginnen und Kollegen für ihr Engagement. Damit sind wir in Studium, Lehre, Forschung und Verwaltung auf einem zeitgemäßen und auch datenschutzrechtlich sicheren Stand“, so Rektor Prof. Dr.-Ing. Jean-Alexander Müller.

Prof. Faouzi Derbel, Prorektor für Forschung und Nachhaltigkeit, ergänzt: „HAWKI stellt mit unterschiedlichen Komponenten wie Datenanalyse, Rechercheunterstützung sowie Tools zur Förderung von Kreativität, beispielsweise durch Ideenfindung und Design Thinking, eine zentrale Grundlage für ein erfolgreiches und fundiertes wissenschaftliches Arbeiten bereit.“

Bezogen auf Studium und Lehre sagt Prof. Axel Klarmann, Prorektor für Bildung: „Wir freuen uns, der Hochschule mit dem Zugang zu HAWKI die Mittel an die Hand zu geben, um mit dem verantwortungsvollen Einsatz von KI Lehre und Studium zu bereichern, beispielsweise als Ideengeber, Reflexionswerkzeug oder Unterstützung in der Organisation des Studierendenalltags. Die Freischaltung reiht sich dabei ein in verschiedene Vorhaben zur Lehr-Lern-Unterstützung der HTWK Leipzig,  wie zum Beispiel D2C2  und studienerfolg@saxHAW.“

Praktische Hinweise

Der neue IT-Dienst steht unter https://hawki.htwk-leipzig.de zur Verfügung
Der Zugriff ist aus dem Hochschulnetz oder per VPN möglich, die Anmeldung erfolgt mit HTWK-Login und Passwort.
Weitere Informationen und wichtige Nutzungshinweise finden Sie auf den Seiten des ITSZ.

Ebenso können "Kursverantwortliche" nun unabhängig von Lerngruppen adressiert werden. Diese Neuerungen ermöglichen eine noch präzisere Kommunikation und verbessern die Effizienz bei der Informationsverteilung über den Kursbaustein Mitteilungen. 

Für mehr Informationen zum Kursbaustein Mitteilungen schauen Sie gern in die OPAL-Hilfe.

Die Sachverhalte wurden kurzfristig verifiziert und umgehend erste Maßnahmen eingeleitet. Erste Sicherheitsupdates der App wurden noch am 11.05. (iOS) bzw. 12.05. (Android) in die Stores gebracht. Diese stehen nach Prüfung durch Google und Apple in Kürze zur Verfügung.  

Die Hochschule ist Verantwortliche für die Datenverarbeitung und daher dazu verpflichtet, den Vorfall zu untersuchen und eine Risikoanalyse durchzuführen. Sie wird dabei im Rahmen der gesetzlichen und vertraglichen Umfänge vom Auftragsverarbeiter BPS GmbH und deren Unterauftragsnehmer codeculture GmbH unterstützt. Zum jetzigen Zeitpunkt können wir bereits folgende Informationen geben.

Übersicht zu Vorfällen/Analyseergebnissen/Maßnahmen:

1. Vorfall: Einbindung von Trackingbibliotheken. Die HTWK Leipzig wurde auf das Vorhandensein bestimmter Tracker-Code-Signaturen hingewiesen. Das Team HTWK-App und seine Partner:innen des Software-Projektes „OpenASiST haben selbst keine Tracking-Funktionen aktiv oder bewusst in die HTWK-App implementiert. Die Vorwürfe lassen sich auf die Verwendung der weltweit etablierten Standard-Open-Source Software Expo.io (Quelle: https://github.com/expo) zurückführen, welche beim automatischen Erstellen der Apps ungewollt weiteren Quellcode in den Apps hinzufügt.

• a) Google-Analytics übermittelt Daten an Google – dies konnte jedoch nicht von allen Testpersonen bestätigt werden.
• Analyse: Mit hoher Wahrscheinlichkeit handelt es sich hierbei um Konfigurationen des Playstores und/oder des Betriebssystems Android selbst. Ist das der Fall, haben wir keinen Einfluss darauf, und es besteht kein unmittelbarer Handlungsbedarf, weil Nutzende mit dem Download der App über den Playstore diesem Tracking durch Google bereits zugestimmt haben.
• Maßnahmen: Herkunft des Trackers prüfen, mögliche Umgehung/Abschaltung prüfen und ggf. die Datenschutzerklärung anpassen

• b) Facebook-Tracker-Codesignaturen sind implementiert und unbemerkt aktiv. Es findet eine Datenübertragung an Facebook statt.
• Analyse: Es handelt sich hierbei um eine in der verwendeten Software Expo.io versteckte Einstellung, die in dieser Software standardmäßig und unerwartet eingeschaltet ist.
• Maßnahme: Sofortige Deaktivierung des Trackers in erstem Sicherheitsupdate am 11./12.05.2022.

• c) Amplitude-Tracker-Code-Signaturen sind vorhanden.
• Analyse: Die bisherige Analyse durch das App-Team zeigte, dass eine Datenübertragung nicht zweifelsfrei ausgeschlossen werden kann. Es handelt sich hierbei um eine in der verwendeten Software Expo.io versteckte Einstellung, die in dieser Software standardmäßig und unerwartet eingeschaltet ist.
• Maßnahme: Dringlichkeit hoch, aktuell Prüfung der Abschaltung

• d)Segment Tracker-Signatur
• Analyse: Trotz Hinweis der Tippgeberin auf diese Signaturen konnten sie bei einer Prüfung durch das App-Team nicht gefunden werden. Dementsprechend konnte auch KEIN aktiver Datenverkehr aufgezeichnet werden.
• Maßnahme: Datenverkehr wird weiter überwacht und bei Auffälligkeiten entsprechende Maßnahmen eingeleitet

2. Vorfall: Matomo/piwik. In die HTWK App sind verschiedene Webviews von Unterseiten der HTWK-Website eingebunden. Beim Aufrufen dieser in der App wird durch die Software Matomo/piwik ein Session-ID-Cookie gesetzt.

• Analyse: Fehlender Hinweis in der Datenschutzerklärung: Für die Anzeige des Cookie-Banner wird ein Session-Cookies gesetzt. Ein Tracking der Nutzenden findet nach Überprüfung der Einstellungen der Matomo/piwik-Software nicht statt.
• Maßnahme: Vorübergehenden Hinweis auf notwenige Cookies in Datenschutzinformation ergänzt. Implementierung eines Cookies-Disable-Feature im ersten Sicherheitsupdate der App, welches das Setzen von Matomo/piwik-Cookies unterbindet. Mittelfristig sollen Nutzende in der App sehen können, wenn in dieser eine Webview geöffnet wird.

3. Vorfall: Nutzung von Amazon Web Services (AWS). Bei jedem App-Start wird das Logo der HTWK von einem Amazon Web Services Content-Delivery-Network bei cloudfront.net abgefragt. Dabei werden Informationen über das Betriebssystem übermittelt.

• Analyse: Definiert ist für die HTWK, dass alle für das Anzeigen der App benötigten Ressourcen (bspw. das Logo) direkt in der App gespeichert werden und nicht auf cloud-services zugegriffen wird. Es handelt sich mutmaßlich um einen Fehler in der Software Expo.io, weshalb das Logo der App fälschlicherweise über den cloudfront-Service bereitgestellt wird.
• Maßnahme: Die Ressourcen der App werden zukünftig über den Hochschul-Kollektor der HTWK Leipzig zur Verfügung gestellt (Umsetzung KW 20/2022). Eine Nutzung von AWS soll so umgangen werden.

4. Vorfall: Aufruf von https://exp.host/status beim Start der App. Beim Start der App wird diese URL angefragt, welche sich mit Amazon Web-Services in Verbindung bringen lässt. Der Aufruf konnte in den bisherigen Prüfungen teilweise reproduziert und nachvollzogen werden.

• Analyse: Verantwortlich für diese Verbindung ist ebenfalls die Software Expo.io.
• Maßnahme: Mit Bereitstellung der Ressourcen über den Hochschulkollektor der HTWK wird diese Anfrage nicht mehr erfolgen.

Risikoabschätzung:

Im vorliegenden Fall wurden Daten ohne Rechtsgrundlage und Information der Nutzenden an Dritte übermittelt. Dabei handelt es sich auch um Datenübermittlungen in unsichere Drittländer. Es handelt sich dabei allerdings um weniger sensible Daten, wie Informationen zur Hardware (Modell, Speicher, Akkuladestand …), zum Betriebssystem (Version, Zeitzone, Sprache …) oder zur App selbst. Diese ermöglichen ggf. eine entsprechende Beobachtung bzw. Profilbildung im Zusammenhang mit weiteren, durch die Dritten aus anderen Quellen verarbeiteten Daten. Ein gewisses Risiko für die Nutzenden der HTWK-App kann daher nicht ausgeschlossen werden, gleichzeitig wurde dieses durch unsere externe Datenschutzbeauftragte nicht als hoch eingestuft. Offensichtliche Nachteile im Sinne einer "Beeinträchtigung der Lebensführung" lassen sich nicht erkennen. Auch der Zugriff durch US-Behörden o.ä. erscheint unwahrscheinlich. Dennoch haben wir uns nach Prüfung unserer externen Datenschutzbeauftragten dazu entschieden, den Fall der sächsischen Aufsichtsbehörde zu melden.

Wir empfehlen schnellstmöglich Updates der App durchzuführen, sobald diese verfügbar sind.

Für weitere Informationen steht das Team der Digitalen Studienbegleitung gern zur Verfügung.