Angriff aus dem Cyberspace

Cyberangriffe können eine Universität oder ein Forschungsinstitut vollständig lahmlegen. Mit jedem Fall wächst aber auch die Verteidigungsfähigkeit: Universitäten stärken ihre Forschung zur IT-Sicherheit.

Am 15. Juni legte ein Cyberangriff das Helmholtz-Zentrum Berlin (HZB) lahm. Bereits am 15. März hatte ein solcher Angriff das Helmholtz-Zentrum München getroffen. Typisch bei solchen Vorfällen: Der E-Mail-Verkehr funktioniert nicht mehr, weder die Website der Einrichtung noch die Telefone sind erreichbar. Teile der Forschungsinfrastruktur stehen nicht zur Verfügung. So hat das HZB unter anderem sämtliche Experimente an der dortigen Synchrotronquelle Bessy II eingestellt.

Ähnliches geschieht gefühlt täglich. Nach einem Cyberangriff am Heiligabend 2022 musste die Westsächsische Hochschule Zwickau ihren Vorlesungsbetrieb in der ersten Jahreswoche aussetzen. Im Januar 2023 traf es die TU Bergakademie Freiberg.¹⁾ Gleich zwei Attacken aus dem Netz innerhalb weniger Wochen machten Ende 2022 die Lernplattformen der Universität Duisburg-Essen (UDE) unbenutzbar.²⁾ Im Jahr 2020 wurden rund 60 Serversysteme der Universität Bochum verschlüsselt und damit große Teile des Campus und der Verwaltung arbeitsunfähig.³⁾ Medienberichten zufolge haben Hacker im Frühjahr 2022 an der Universität Leipzig „Nutzerdaten der Bibliothek gestohlen“ sowie im darauffolgenden Herbst einen Angriff mit Erpressungssoftware gestartet.⁴⁾ Diese Liste ließe sich beliebig weiterführen.

Nicht immer ist klar, was genau bei diesem und jenem Cyberangriff geschehen ist. So fand die Universität Leipzig keine Hinweise auf Datenklau. Dennoch hat die Uni neben Ad-hoc-Maßnahmen die Sicherheitskonzepte geprüft und überarbeitet.

Detailliert dokumentiert

Die detaillierteste Schilderung eines Cyberangriffs stammt von der Universität Gießen. Sie hat den Vorfall am 8. Dezember 2019 in einer Ex-post-Analyse dokumentiert.⁵⁾ Es handelte sich um den bis dato größten Angriff auf eine öffentliche Einrichtung in Deutschland; 28 000 Studierende und 5500 Beschäftigte waren betroffen. Die Cyberkriminellen setzten die damals neue Software Ryuk ein, eine Ransomware. Damit werden üblicherweise Daten verschlüsselt und gegen Lösegeld wieder entschlüsselt. Auf den Angriff folgte ein wochenlanges Notfallmanagement und im Gefolge eine neue IT-Governance- und Sicherheitsarchitektur, entwickelt mit externen Gutachtern (KPMG) und Beratungsfirmen (xiv-consult).

Bemerkt wurde der Angriff zunächst in der Veterinärmedizin. Es gab hier Probleme, auf bestimmte IT-Systeme zuzugreifen. Dann ging es schnell: Die Fakultät meldete den Fall ans Hochschulrechenzentrum (HRZ), das trennte den betroffenen Servers vom Uni-Netzwerk, entdeckte Schadsoftware-Befall in anderen Systemen der Universität, hielt Rücksprache mit dem Präsidium, verständigte Hessen-Cert (Hessen-Cyber-Competence-Center, Wiesbaden), trennte die Universität vom Internet, fuhr Server und Speichersysteme herunter, die Uni stellte Strafanzeige gegen Unbekannt – alles bis zum 9. Dezember. Dann: Es kam gar keine Lösegeldforderung.

Nach den Sofortmaßnahmen richtete das HRZ mit Hilfe des Rechenzentrums der Universität Marburg und des Deutschen Forschungsnetzes, Berlin, (DFN) eine temporäre Webpräsenz der Universität Gießen auf den Servern der Universität Marburg ein. Auch wurden die E-Mail-Systeme mit Webhosting-Systemen (Dovecot/Horde Webmail) innerhalb von zehn Tagen nach dem Angriff wieder flottgemacht.

Trotz der schnellen Erfolge merkte die Universität die Folgen des Cyberangriffes bis weit ins Jahr 2020. Es hakte vor allem bei Windows-Netzlaufwerken und Verwaltungsabläufen.

Zusammen mit externen Partnern (ERNW, Heidelberg; Nationales Forschungszentrum für angewandte Cybersicherheit „Athene”, Darmstadt) ließ sich der Ablauf des Angriffs später rekonstruierten. Insbesondere weiß man heute, dass er schon zwei Tage vorher startete, und zwar mit den Softwares Emotet und Trickbot. Unter anderem versuchten die Angreifer, die Datensicherungen an der Universität unbrauchbar zu machen. In der letzten Angriffswelle wurde Ryuk über einen Windows-Domänencontroller, also über einen Server zur zentralen Authentifizierung von Computern und Benutzern im Rechnernetz eingeschleust mit dem Ziel, sich über möglichst alle Systeme zu verbreiten.

Als enorm aufwendig erwies es sich, für alle Universitäts-Accounts neue Passwörter auszugeben. Denn aus Organisations- und Sicherheitsgründen musste das HRZ sie ausdrucken, in Briefumschläge packen, und die mussten die Nutzer unter Vorlage eines Ausweises und Bestätigung des Erhalts per Unterschrift abholen.

Die Angehörigen der Universität Gießen sind verhältnismäßig glimpflich davongekommen, denn die anfänglich befürchteten Datenverluste, etwa Dokumentation von Prüfungsleistungen, Daten bei wissenschaftlichen Experimenten, traten dann doch nicht ein. Allerdings verzögern sich durch Cyberangriffe die Forschungsexperimente. Auch ist es kaum möglich, halbfertige Abschlussarbeiten oder wissenschaftliche Veröffentlichungen sinnvoll weiter zu bearbeiten, wenn der Zugriff auf die entscheidenden Daten fehlt.

Langfristig sieht sich die Universität in der IT-Sicherheit gestärkt. Unter anderem gibt es neuerdings den Informationssicherheitsbeauftragten. Diese Stelle ist eine W2-Professur, unabhängig und direkt beim Präsidium angesiedelt. Zudem unterstützt ein Informationssicherheitsmanager den Informationssicherheitsbeauftragten. Wichtig erscheint es darüber hinaus, künftig bei allen Mitarbeitern der Universität ein Bewusstsein für die neue Sicherheitsstruktur und ihre Hintergründe zu schaffen.

Komplexe Strukturen – Einfallstore für Cyberkriminelle

Auch für die Universität Duisburg-Essen (UDE) spielt die Organisation der IT-Struktur eine Hauptrolle: Die Cybersicherheitsmaßnahmen werden zwar zentral festgelegt und vorgeschrieben, aber dezentral implementiert. Denn verschiedene Lehr- und Forschungsgebiete benötigen unterschiedliche Hard- und Software. Die IT-Sicherheit der UDE ist im Prorektorat für Transfer, Innovation und Digitalisierung verankert und wird vom Zentrum für Informations- und Mediendienste zentral umgesetzt. In den Fakultäten und Einrichtungen gibt es speziell Verantwortliche.

Die Bedrohung durch Cyberangriffe schätzt die UDE aufgrund ihrer Erfahrungen so ein: Die digitalen Strukturen einer Universität sind komplex. Cyberkriminelle suchen darin gezielt nach potenziellen Einfallstoren, um in das interne Netzwerk einzudringen. Angriffsversuche auf Uni-Strukturen gibt es täglich, vollständige Sicherheiten nicht. Sonst wären Attacken dieser Art nicht immer wieder so erfolgreich.

Auch die Universität Leipzig sieht sich laut Pressesprecher Carsten Heckmann „wie jede öffentliche Einrichtung permanent Cyberangriffen ausgesetzt Die Bedrohungslage hat sich in den vergangenen Jahren deutlich verstärkt.“ Auf der Basis der umfangreichen Dokumentation rechnet die Universität Gießen damit, dass die Bedrohung wächst. Zwar ist die gefährliche Emotet-Infrastruktur nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) inzwischen inaktiviert, nicht aber Ryuk. Von der Ransomware gibt es sogar neue Versionen, die sich selbstänig in Netzwerken verbreiten können.

Die Universität Bochum hingegen betont: Über all der Sorge über die Verwundbarkeit von Universitäten durch kriminelle Cyberattacken vergisst man zuweilen, dass ebendiese Universitäten mit ihrer Forschung zur IT-Sicherheit teilweise inzwischen an der Weltspitze stehen. Jede Stunde null, in der nach einem Cyberangriff nichts mehr geht, stärkt langfristig die Verteidigungskraft.

Einen Mittelpunkt der Cyberabwehr bildet zum Beispiel das Center „Trustworthy Data Science and Security“. Die Universität Bochum und die TU Dortmund haben es innerhalb der Research Alliance Ruhr aufgebaut.⁶⁾ Innerhalb des Ruhr-Instituts für Software-Technologie Paluno der UDE betreiben über 100 wissenschaftliche Mitarbeiter Anwendungs- und Grundlagenforschung.⁷⁾ Dennoch arbeiten die Universitäten neben den eigenen Expertengruppen mit externen Unternehmen zusammen, um ihre Sicherheitssysteme auf dem aktuellen Stand zu halten.

Der Weg zur Cybersicherheit

Im Jahr 2018 hat die Hochschulrektorenkonferenz eine Empfehlung mit dem Titel „Informationssicherheit als strategische Aufgabe der Hochschulleitung“ verabschiedet.⁸⁾

Die Organisation von Cybersicherheit an deutschen Forschungsstätten bleibt zwar heterogen. Es gibt aber Kommunikationsforen zum gegenseitigen Austausch. Dazu gehört nach Angaben des Deutschen Forschungsnetzes als Anlaufstelle die vereinseigene Tochter DFN-Cert Services und die Konferenz „Sicherheit in vernetzten Systemen“ (nächster Termin: 30. bis 31. Januar 2024 in Hamburg). Auch findet ein Austausch über die Anliegen von Forschungsstätten mit dem BSI statt, vor allem über eine Kooperation zwischen DFN-Cert und der beim BSI angesiedelten Cert-Bund (Computer-Emergency-Response-Team für Bundesbehörden).

Über den DFN-Dienst DFN.Security können am Deutschen Forschungsnetz teilnehmende Einrichtungen auf aktuelle Schwachstellen von verbreiteten Softwaresystemen zugreifen. Sie erhalten Informationen zu erkannten Vorfällen im Zusammenhang mit ihrer Einrichtung. Dazu können über das DFN-Cert-Portal automatische Warnmeldungen, Schwachstellenmeldungen und der Netzwerkprüfer eingerichtet und konfiguriert werden. Dies dient primär der Prävention und Erkennung von Angriffen. Neben diesen weitgehend automatisiert ablaufenden Services bietet der Dienst im Falle eines akuten Angriffs aktive Unterstützung bei der Reaktion.

Ein Sicherheitskonzept auf der Basis eines Information Security Management System (ISMS) ist grundsätzlich ein guter Ausgangspunkt, aber noch keine vollständie Lösung. Die muss individuell für eine Forschungsstätte erarbeitet werden. Dies kann aufwendig nach der internationalen Norm ISO 27001:2022 erfolgen.

Näher an der Praxis in Behörden und kleinen und mittleren Unternehmen bewegt sich das „Netz für Informationssicherheit im Mittelstand (NIM)“ mit seinem „Konzept in zwölf Schritten“, an dem unter anderem die Universität Regensburg beteiligt ist.⁹⁾ Damit wird zwar nicht jede theoretisch mögliche Bedrohung erfasst, dafür soll es für Normalmenschen verständlicher sein. Ergänzend empfiehlt sich ein Rückgriff auf die Ratschläge der VdS Schadenverhütung, Köln, Europas größtes Institut für Unternehmenssicherheit und eine 100-prozentige Tochter des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV).¹⁰⁾

Cyberrisiken versichern

Einige Versicherungen bieten Policen gegen Cyberangriffe, etwa die DF Vermögensberatung und die Allianz.¹¹⁾ Eine solche Versicherung greift unter anderem bei: Infizierung mit Schadsoftware, Veröffentlichung vertraulicher Unterlagen, Spoofing, also das Umgehen von Identifikations- und Authentifizierungsverfahren, Phishing, Angriffe auf Passwörter und Ransomware-Angriffe mit Daten-Verschlüsselung und Lösegeldforderung zum Entschlüsseln.

Zu Cyberschutz gehören eine 24/7-Cyber-Krisenhotline, ein Krisenplan, IT-Sicherheitstrainings. Zudem übernimmt die Versicherung die Kosten für einen Cyber-Krisenmanager und einen Krisenkommunikationsberater, die Kosten einer Betriebsunterbrechung sowie die Wiederherstellung der Systeme im Angriffsfall. In Pharmazie und Medizin sind Datenschutzverstöße, zum Beispiel bei Studien mit Probanden, weitreichend versichert.

Der Autor

Der Autor dieses Beitrags, Christian Ehrensberger, ist promovierter Chemiker und freier Mitarbeiter der Nachrichten aus der Chemie.

AUF EINEN BLICK

Täglich gibt es Cyberangriffe auf Universitäten und Hochschuleinrichtungen. Wenn sie Erfolg haben, legen sie nicht nur die Kommunikation, sondern auch die Forschung lahm.

Kriminelle setzen oft Schadsoftware ein, die Daten verschlüsselt, und fordern Lösegeld.

Die heterogene IT-Struktur einer Universität trägt zu Sicherheitslücken bei.

Die detaillierteste Dokumentation eines Cyberangriffs und der Reaktion darauf hat die Universität Gießen erstellt.

• ¹ www.mdr.de/nachrichten/sachsen/chemnitz/freiberg/bergakademie-hacker-angriff-rektor-100.html, Zugriff am 10.4.2023
• ² www1.wdr.de/nachrichten/ruhrgebiet/update-hackerangriff-uni-duisburg-essen-100.html, Zugriff am 10.4.2023
• ³ www.itsb.ruhr-uni-bochum.de/themen/rubinform10-angriff.html, Zugriff am 10.4.2023
• ⁴ www.mdr.de/nachrichten/sachsen/chemnitz/freiberg/bergakademie-hacker-angriff-rektor-100.html
• ⁵ www.degruyter.com/document/doi/10.1515/abitech-2022–0005/html, Zugriff am 9.5.2023
• ⁶ rc-trust.ai
• ⁷ paluno.uni-due.de
• ⁸ www.hrk.de/positionen/beschluss/detail/informationssicherheit-als-strategische-aufgabe-der-hochschulleitung, Zugriff am 2.7.2023
• ⁹ de.wikipedia.org/wiki/Information_Security_Management_System, Zugriff am 2.7.2023
• ¹⁰ vds.de/kompetenzen/cyber-security, Zugriff am 30.7.2023
• ¹¹ www.cyberschutz.org, Zugriff am 2.7.2023

Bildung + Gesellschaft