Angriffe aus dem Netz: Kampf an 1000 Einfallstoren

Die Cyberattacke auf die Technische Universität Berlin begann am 26. April. Angreifer haben sich Zugang zu den dezentralen IT-Systemen der Hochschule verschafft und sich dann kontinuierlich vorgearbeitet. Erst manuell über das Netzwerk, dann bis in die zentrale IT.

Dort drangen sie in das Active Directory vor, wo sämtliche Zugriffsrechte in einem Windows-System verwaltet werden. Sie machten sich selbst zu Administratoren, also zu den Verwaltern des Systems. Mit diesen Rechten wurde dann begonnen, die Daten der Universität zu verschlüsseln.

[Wenn Sie aktuelle Nachrichten aus Berlin, Deutschland und der Welt live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können]

Reparaturen „unter hohem persönlichen Zeiteinsatz“

Die Täter kamen von der Ransomware-Gruppe „Conti“, und sie richteten nachhaltigen Schaden an. „Es wird noch einige Zeit vergehen, bis wir wieder bei 100 Prozent sind, unter anderem, weil wir eben nicht einfach zum Status von vor dem IT-Sicherheitsvorfall zurückkehren. Mehrere Hundert Server und einige Tausend Clients sind davon betroffen“, sagt eine Sprecherin der TU Berlin gegenüber dem Tagesspiegel Background Digitalisierung & KI.

Der Vorfall ist einer der schwersten Cyberangriffe auf eine deutsche Universität in den vergangenen Jahren. Und er zeigt, worin die Schwierigkeiten bestehen, die IT-Infrastruktur einer Hochschule zu schützen.

Vier Monate lang arbeitet die TU Berlin nun schon an der Beseitigung der Angriffsfolgen. Daran hängen Dutzende von Einzelservices, die für den digitalen Ablauf des Lehr- und Forschungsbetriebes notwendig sind. Diese virtuelle Sphäre des Universitätslebens war bereits vor der Pandemie kaum wegzudenken aus dem Alltag. Durch die Kontaktbeschränkungen ist sie zum zentralen Ort sämtlicher Hochschularbeit geworden.

Wiederhergestellt wurde unter anderem die Cloud der TU Berlin, die Studierenden und Lehrkräften eine externe Möglichkeit zur Speicherung von Daten erlaubt. Allerdings gilt das nur für bestehende Accounts. Auch das Wlan „Eduroam“ ist verfügbar, ebenso wie die Videokonferenz-Software Webex, die konventionellen Webauftritte ohne das Content-Management-System Typo3, die Blogs, die Wikis und der interne Virenschutz. Das betrifft einige wichtige Teile des Systems, die für den Ablauf des virtuellen Universitätslebens gebraucht werden.

Seit dem 16. August ist der Exchange-Mailserver wieder eingeschränkt verfügbar, generell läuft das System, einige Zusatzservices wie die Fax-Funktion funktionieren jedoch noch nicht. In Typo3 sind keine neuen Webauftritte möglich. Das Portal Qispos zur Anmeldung von Studien- und Prüfungsleistungen befindet sich derzeit im Aufbau. Derzeit noch gar nicht verfügbar sind unter anderem die Campuskarte, die als Bibliotheksausweis und als Semesterticket fungiert, der Druckerserver und das Softwareportal, bei dem sich Studenten Programme herunterladen können, für die von der TU Berlin Lizenzen erworben wurden.

Der Neuaufbau des Systems geschehe immer noch vor dem Hintergrund der Corona-Pandemie und mit begrenzten Personalressourcen, so die TU-Sprecherin. „Viele Kolleginnen und Kollegen in der Zentraleinrichtung Campusmanagement (ZECM) arbeiten seit 30. April unter hohem persönlichen Zeiteinsatz daran, die IT-Systeme und damit die Handlungsfähigkeit der TU Berlin in vielen wichtigen Feldern wieder vollständig herzustellen.“

IT-Sicherheitsvorfälle häufen sich

Ein zentrales Problem bei der IT-Sicherheit von Hochschulen besteht darin, dass es Tausende mögliche Einfallstore für Cyberangriffe gibt. Einerseits gibt es das stationäre IT-System in den Universitäten, das beispielsweise Campusrechner und Bibliothekscomputer umfasst. Dazu kommt der Datenaustausch von diesen Rechnern mit anderen Institutionen.

Andererseits können Studierende auf wichtige Systeme auch von ihren privaten IT-Geräten zurückgreifen – sowohl von Laptops als auch von Tablets oder Smartphones. Das gilt sowohl für den Wlan-Zugang am Campus als auch für getunnelte Verbindungen von außerhalb, mit denen beispielsweise auf die digital verfügbare Literatur in den Bibliotheken zurückgegriffen werden kann.

In den vergangenen zwei Jahren häufen sich die Meldungen zu IT-Sicherheitsvorfällen an deutschen Hochschulen. Der bekannteste Fall betraf die Justus-Liebig-Universität in Gießen, die nach einer Attacke mit der Schadsoftware „Ryuk“ im Dezember 2019 ihre Rechner komplett herunterfahren musste. Erst Ende März 2020 waren die meisten Systeme wieder hergestellt. Im Mai 2020 wurden dann die Systeme der Ruhr-Uni Bochum mit Ransomware attackiert, die Uni sprach aber von einem „misslungenen Angriff“. Wenig später wurde die Bibliothek der Universität zu Köln zum Ziel von Cyberangreifern.

Die TU Berlin wurde Opfer der Gruppe „Conti“. Laut Informationen der IT-Sicherheitsfirma Palo Alto Networks handelt es sich dabei um eine der „skrupellosesten Ransomware-Banden“, die das Unternehmen beobachtet. Unter den Angriffszielen seien auch Krankenhäuser und Notrufzentralen gewesen. „Wir haben gesehen, dass die Gruppe Opfer, die Lösegeld für die Wiederherstellung ihrer Daten zahlen, regelrecht ausgenommen haben“, schreibt das Unternehmen. Dies geschehe unter anderem mittels mehrfacher Erpressung. Wenn erst einmal Daten abgeflossen sind, können Angriffsopfer beispielsweise sowohl für das Entsperren der Systeme als auch für die Nichtweitergabe der erbeuteten Informationen erpresst werden. Das FBI rechnet der Gruppe „Conti“ mittlerweile 400 Angriffe zu, die Lösegeldforderungen hätten bei bis zu 25 Millionen Dollar gelegen.

Einzelne Daten der TU Berlin sind tatsächlich im Darknet veröffentlicht worden. Der TU Berlin ist allerdings nicht bekannt, dass auch Daten zum Verkauf angeboten wurden. Ein Erpresserschreiben sei bis heute nicht eingegangen.

Schadensbegrenzung im Netzwerk

Ein anderer Aspekt ist, dass mit der Wiederherstellung der Systeme die Gefahrenlage noch lange nicht vorbei ist. Im Grunde ist sie beständig hoch. An der Justus-Liebig-Universität in Gießen gab es zahlreiche Phishing-Angriffe auf Studierende. Dafür wurde die Webseite der Universität von Angreifern nachgebaut, um die Einwahldaten der Betroffenen zu erbeuten. Auf diese Weise wollten sich Angreifer im Juli 2020 Zugang zum System verschaffen. „Eine Universität dieser Größe mit über 35 000 Angehörigen ist täglich zahlreichen Angriffen und Phishingversuchen ausgesetzt. Das geht nicht nur uns so, sondern wird an vielen vergleichbar großen Einrichtungen ähnlich aussehen“, sagt eine Sprecherin der Justus-Liebig-Universität.

Die Uni Gießen habe in dem Vorfall die Chance gesehen, das System nach neuen Standards wieder aufzubauen. Welche Änderungen vorgenommen wurden, wollte die Uni jedoch nicht sagen. Die Aufgabe sei ohnehin eine große Herausforderung. An Hochschulen gebe es „üblicherweise eine gewachsene Infrastruktur und einen intensiven Datenaustausch mit zahlreichen anderen Institutionen“. IT-Sicherheitsvorfälle ließen sich niemals völlig ausschließen, „aber durch eine umfassende IT-Strategie lassen sich die Folgen eingrenzen und die Schäden minimieren - daran arbeiten wir kontinuierlich weiter“, so die Sprecherin der Universität.

Hilfe für Universitäten beim Aufbau einer wirksamen IT-Sicherheitsinfrastruktur gibt es unter anderem vom Computer Emergency and Response Team des Deutschen Forschungsnetzes (DFN-CERT). Das Unternehmen bietet unter anderem ein Training für das Schwachstellenmanagement von IT-Systemen an, das für Anwender des DFN kostenlos ist.

Auch an der TU Berlin läuft der Aufbau einer neuen Sicherheitsstruktur. Schon zuvor seien die Systeme regelmäßig gewartet und gepatcht worden. Ein großes Problem dabei sei die Komplexität der IT-Infrastruktur einer so großen Universität. „Wir haben uns den Angriff allerdings sehr genau angeguckt, unsere Schlüsse daraus gezogen und entsprechende Maßnahmen abgeleitet“, so die Sprecherin der TU Berlin.