IT-Sicherheit
Cyberangriff auf Uni Maastricht über Wochen unbemerkt
Die Ermittlungen zu dem Cyberangriff auf die Universität Maastricht sind größtenteils abgeschlossen. Nun hat die Uni die daraus gewonnen Erkenntnisse veröffentlicht. Der Bericht offenbart, dass der Angriff bereits am 15. und 16. Oktober mit zwei geöffneten Phishing-Emails begann. Bis zum 23. Dezember hatte sich der Angreifer demnach über mehrere Sicherheitslecks vollen Zugriff auf die digitale Infrastruktur der Hochschule verschafft und schließlich mehrere hundert Server mit einer Schadsoftware verschlüsselt. Zur Entschlüsselung habe die Universität am 30. Dezember schließlich das geforderte Lösegeld bezahlt. Laut "Reuters" betrug das Lösegeld 30 Bitcoin — zu dem Zeitpunkt rund 200.000 Euro.
Durch die Bekanntgabe der Details zu ihrem Angriff will die Universität Maastricht nach eigenen Angaben zu mehr IT-Sicherheit im öffentlichen Bereich beitragen. An der Uni selbst wolle man nun ein Sicherheitsmanagement und ein "Security Operations Center" einrichten, in dem ein IT-Team rund um die Uhr ausschließlich Cyberbedrohungen überwachen und notfalls abwehren werde. Dieses Experten-Team sei notwendig, da jede Sekunde 30.000 versuchte Angriffe und 1.400 Angriffe durch Schadsoftware blockiert würden. Täglich erreichten die Uni zudem mehrere tausend weitere Bedrohungen über Dateien. Die Administratoren müssten hier schneller reagieren können.
Von der Ransomware-Attacke betroffen waren demnach die E-Mail-Server, Datenserver mit Forschungs- und Geschäftsdaten und zahlreiche Backup-Server. Zugang zum Netzwerk der Uni habe der Angreifer ursprünglich über Phising-Emails erzielt, von wo aus er auf weitere Server zugreifen konnte. Über einen Server mit fehlenden Sicherheitsupdates habe der Hacker dann volle Zugriffsrechte auf die digitale Infrastruktur der Uni gewonnen. Am 23. Dezember habe der Angreifer schließlich die sogenannte "Clop"-Ransomware auf 267 Windows Servern platziert. Insgesamt gebe es an der Universität Maastricht 1.647 Server und 7.307 Computerarbeitsplätze.
Es gebe Hinweise darauf, dass der Angreifer Benutzernamen und Passwörter von mehreren Benutzerkonten sowie Informationen zur Architektur der Netzwerke abgegriffen habe. Dafür, dass auch andere Daten entwendet wurden – wie etwa persönliche Daten oder Forschungsdaten – habe es keine Hinweise gegeben. Dennoch schließen die Ermittler nicht aus, dass der Angreifer diese besitze und wollen ihre Ermittlungen dahingehend weiterführen. Auch sei in einigen Fällen noch offen, wie sich der Angreifer Zugriff verschaffte.
Uni will ihr Sicherheitsmanagement verbessern
Die digitale forensische Untersuchung führte eine von der Uni am 24. Dezember eingeschaltete IT-Firma durch, die auch das Krisenmanagement der Hochschule leitete. Ähnlich wie die kürzlich angegriffene Universität Gießen brachte auch die Universität Maastricht ihre betroffene Infrastruktur schrittweise wieder zum Laufen, um Verwaltung, Lehre und Forschung baldmöglichst wieder zu gewährleisten. Über die Fortschritte berichtete sie in täglichen Updates. Seit Anfang Januar sind fast alle digitalen Systeme der Uni wieder in Betrieb.
Während die Ermittlungen zu weiteren Details andauern, will die Uni nun zahlreiche Maßnahmen implementieren, um einen weiteren Cyberangriff zu verhindern. Derzeit würden rund 20 Prozent aller Phishing-Emails geöffnet. Durch Kampagnen wolle man nun das Bewusstsein der Nutzer erhöhen. Außerdem wolle man vermehrt darauf achten, dass Sicherheitsupdates auf allen Computern der Uni fehlerfrei installiert würden, um auch hier Sicherheitslücken in Software-Programmen zu schließen.
Auch die Regelungen zu Benutzerkonten und Administratorrechten wolle man verschärfen, um eine Verbreitung von Schadsoftware zu erschweren. Zudem wolle die Uni die bestehenden Computer und Server kartieren, da während des Angriffs nicht klar ersichtlich gewesen sei, welche überhaupt in Betrieb seien. Diese Inventur wolle man nachholen. Während des Angriffs seien zudem einige kritische Online Backups verschlüsselt worden. Zukünftig werde man daher ergänzend auch auf Offline Backups setzen, um einen erneuten Totalausfall zu verhindern.
ckr