IT-Sicherheit
Datenklau bei Hackerangriff auf TU Berlin
Unbekannte Hacker konnten bei ihrem Angriff auf die IT-Systeme der Technischen Universität Berlin Ende April Daten stehlen. Das berichtet die Hochschule auf ihrer Webseite mit Verweis auf die Ergebnisse der durchgeführten forensischen Analyse des Angriffs.
Demnach hätten sich die Angreifer Zugriff auf das Active Directory verschafft, das als zentraler Verzeichnisdienst diverse Daten der Nutzerinnen und Nutzer der IT-Systeme der TU enthalte. Dazu gehörten unter anderem die Benutzernamen und verschlüsselten Passwörter, die zugehörigen E-Mail-Adressen, sowie weitere hinterlegte E-Mail-Adressen, die Personalnummern der Beschäftigten, die Matrikelnummern der Studierenden und Berechtigungen wie Team-Zugehörigkeiten oder Gruppenmitgliedschaften. Falls diese Angaben hinterlegt waren, seien auch die IP-Adresse und Inventarnummer des Dienstrechners abgeflossen, ebenso wie dienstliche oder private Telefonnummern.
Am Dienstag habe die TU Berlin festgestellt, dass auf dem Blog der Hacker-Gruppe Conti im Darknet eine Anzahl ihrer Dateien mit personenbezogenen Daten veröffentlicht worden sei. Dieser Fall werde aktuell untersucht, teilte die Hochschule mit. Es lasse sich nicht ausschließen, dass weitere Daten abgeflossen seien, allerdings gebe es keinen Hinweis darauf, dass auch die SAP-Systeme oder die tubCloud betroffen seien.
Der Präsident der TU Berlin, Professor Christian Thomsen, rief Betroffene dazu auf, ihr TU-Passwort zu ändern und bei anderen Diensten, wo das gleiche Passwort verwendet werde, ein neues zu hinterlegen. Die abgeschalteten IT-Systeme dürften nicht wieder hochgefahren werden. Stattdessen werde die zentrale IT-Infrastruktur der Hochschule neu aufgesetzt. Bis zur vollständigen Wiederherstellung und Überführung aller Systeme könne es noch mehrere Monate dauern.
Die Auswirkungen der Angriffe betreffen laut TU viele Bereiche: Beispielsweise könnten neue Personalvorgänge nicht bearbeitet werden. Lediglich einzelne "Notvorgänge" werden nach Angaben der Hochschule bearbeitet. Darunter fielen beispielsweise zeitnah notwendige Vertragsverlängerungen oder die Besetzung von Schlüsselfunktionen für die verschiedenen Fakultäten. Ausschreibungen für studentische Beschäftigte könnten derzeit nicht verlängert oder veröffentlicht werden. Auch das Prüfungsamt könne nur eingeschränkt arbeiten, so dass beispielsweise Prüfungsan- oder Prüfungsabmeldungen, Leistungsübersichten und Abschlussdokumente nicht angeboten werden könnten.
Über den Ablauf des Angriffs sei bekannt, dass er ab dem 26. April 2021 von den dezentralen IT-Systemen aus erfolgte. Unbekannte seien manuell über das Netzwerk bis in die zentrale IT der TU Berlin vorgerückt. Dazu seien Sicherheitslücken der IT-Infrastruktur und IT-Organisation ausgenutzt worden. Schließlich hätten sich die Angreifenden administrative Rechte im Active Directory verschafft und damit die zentrale Windows-Umgebung kompromittiert, bevor die Verschlüsselung diverser Windows-Systeme gestartet worden sei. Die TU Berlin hat wegen des Angriffs beim Landeskriminalamt Anzeige erstattet.
cpy
