Tag der Computersicherheit - "Wenn Hacker-Banden es auf einen abgesehen haben, kann man sich nur schwer wehren"

Di 30.11.21 | 06:11 Uhr | Von Sylvia Tiegs
  21
Symbolbild: Geschäftsleute mit Programmcode und abstraktem Business Hintergrund. (Quelle: dpa/K. Ohlenschlager)
Audio: Inforadio | 30.11.2021 | Sylvia Tiegs | Bild: dpa/K. Ohlenschläger

Ende April überfielen Cyber-Kriminelle das Computersystem der TU Berlin. Inzwischen ist der Schaden weitgehend behoben. Aber der Weg dorthin war mühsam und teuer. Was hat die Uni aus dem Hackerangriff gelernt? Von Sylvia Tiegs

Das Telefon klingelte und der Technikchef sagte: "Matthias, hier läuft was unnormal!", so erinnert sich Matthias Reyer, verantwortlich für das Computernetzwerk der TU, an den Morgen des 30. April. Es ist ein Freitag. An diesem Tag wurde die TU Berlin gehackt und schnell war das den IT-Fachleuten dort auch klar. Die verschlüsselten Dateien in den Windows-Systemen der Uni waren der Beweis. Matthias Reyer ist Direktor der Zentraleinrichtung, Campusmanagement, sein IT-Team nahm die Uni-Server damals umgehend vom Netz: "Es war wirklich Licht aus im IT-Bereich", sagt er.

Mehr Infos

Der Tag der Computersicherheit findet jährlich am 30.November statt. Der Aktionstag wurde im Jahr 1988, in den USA, von der Vereinigung für Computersicherheit ins Leben gerufen, um die Menschen zu erinnern, ihre Computer und ihre persönlichen Daten zu sichern.

Nichts ging mehr

Wochenlang kam die TU an nichts mehr heran, konnte weder Zeugnisse noch Bescheinigungen ausstellen. Ein Alptraum für alle, die auf Wohnungssuche waren, sich auf Jobs oder Studiengänge bewarben oder Nachweise für die Krankenkasse brauchten. Auch die Gehaltszahlungen waren zeitweise schwierig.

Zudem hatten die Hacker die Daten sämtlicher IT-Nutzer der Uni gestohlen: Namen, E-Mail-Adressen, Passwörter, Personal- und Matrikelnummern. 8.000 Mitarbeitende und 36.000 Studierende kamen nicht mehr ins System - so wie Fabian, Mathe-Student im letzten Semester: "Das E-Mail-System hat eine ganze Weile nicht funktioniert. Dadurch wurde man nicht benachrichtigt, zum Beispiel in den Online-Kursen. Das war anstrengend und echt nervig. Dann wurde es Stück für Stück besser."

Matthias Reyer, Direktor der Zentraleinrichtung Campusmanagement an der TU und verantwortlich für die IT. (Quelle: Sylvia Tiegs)
Matthias Reyer | Bild: Sylvia Tiegs

Nichts ging mehr

Tatsächlich funktioniert jetzt - mehr als sechs Monate nach dem Hackerangriff - endlich fast alles wieder normal, bestätigt IT-Chef Matthias Reyer: "Zeugnisse und Bescheinigungen können wieder ausgestellt werden. Das Tagesgeschäft, was für eine Uni essenziell ist, läuft wieder." Eingeschränkt seien noch einige internen Anwendungen. Für die, die damit arbeiten, immer noch misslich.

Für Matthias Reyer ist klar, "dass wir uns verbessern müssen, denn es gab ja eine Schwachstelle." Größere Vorwürfe aber müsse sich die Technische Universität nicht machen: "Die Fachwelt ist sich sehr einig darüber, dass solche Vorfälle prinzipiell jeden erwischen können. Wenn solche Banden es so richtig auf einen abgesehen haben, fällt es schon sehr schwer, sich da zu wehren."

Archivbild: Außenansicht TU-Berlin. (Quelle: imago images/R. Kremming)
Bild: imago images/R. Kremming

Sieben Millionen Attacken auf das Netz der Berliner Verwaltung

Tatsächlich ist die Liste der Opfer von Hackerangriffen sehr lang – deutschlandweit, und auch in unserer Region: Die Landeshauptstadt Potsdam hat es ebenso erwischt wie die Stadt Angermünde, die Schulcloud Brandenburg, das Berliner Kammergericht oder den Ticketdienstleister von Berliner Zoo und Tierpark. Der Bundestag wurde gleich mehrmals gehackt, am schwersten war der Cyber-Angriff 2015. Das Berliner IT-Dienstleistungszentrum ITDZ registriert nach eigenen Angaben jährlich sieben Millionen Cyber-Attacken auf das Netz der Berliner Verwaltung.

Folgenschwere Angriffe wie der auf die TU lassen sich vor der Öffentlichkeit nicht verbergen, die Universität selbst ging mit ihrem Fall sehr transparent um. Stillschweigen allerdings herrscht bei der Frage, ob Lösegeld geflossen ist. Oftmals verlangen Hacker nämlich genau das. Nur dann geben sie verschlüsselte, blockierte Daten wieder frei. Doch je mehr das Opfer über den Fall und seine Lösung verrät, desto mehr Erkenntnisgewinn ziehen auch Kriminelle daraus. Deshalb raten Experten nach Hackerangriffen: Schweigen ist Gold.

Hilfe von Spezialisten holen

Kein Geheimnis ist dagegen, wie die TU nach eigenen Angaben nach dem Hackerangriff reagiert hat. "Wir waren insofern vorbereitet, als dass es Notfallkonzepte gibt. Wir hatten vorab durchgespielt was machen wir, wenn ein solcher Unfall passiert", sagt IT-Chef Matthias Reyer. Niemand sei in Panik verfallen – das sei ganz wichtig. Für Analyse, Schadensbehebung und Verbesserung der Sicherheit zog die Uni externe Fachleute hinzu. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) zertifiziert solche Firmen. Und rät, sie einzuschalten. Matthias Reyer kann das nur bekräftigen. "Lassen Sie Dritte auf Ihre Systeme gucken, die sehen mehr!", ist sein Rat. Die Technische Universität werde das in Zukunft intensiver und öfter tun als vorher. Das ist eine Lehre aus dem Hackerangriff vom April. Was genau sie sonst an ihren Systemen verändert hat, will sie aus Sicherheitsgründen nicht veröffentlichen.

Sendung: Inforadio, 30.11.2021, 10:05 Uhr

Beitrag von Sylvia Tiegs

21 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 21.

    - 2 -
    1. Windows (W.) zeichnete sich anfangs durch seine grafische Oberfläche aus, noch ewas holprig, aber in Ansätzen ähnlich der heutigen. Wer die Oberfläche der DOS-Shell oder auch Linux-Distribution gewohnt war, hatte Probleme sich zu einem Wechsel durchzuringen. Linux hat in der Frage mittlerweile nachgelegt.
    2. Die interne Struktur von W. war von Anfang an unbeholfen und besteht immer noch aus einzelnen Bausteinen, die Abläufe ausbremsen. Linux ist schlanker und deshalb auch schneller. Der Nutzer bemerkt diese Unterschiede aber nicht.
    3. W. hat durch kostenfreie Angebote, wie Linux in der Anfangsphase, seine Marktanteile ausgebaut. Mittlerweile werden die meisten Maschinen mit W. ausgeliefert, während Maschinen mit Linux nur auf Nachfrage erhältlich sind.
    4. Wie die Marktanteile insgesamt sind kann man nicht abschätzen. Beide nehmen für sich in Anspruch Marktführer zu sein.
    5. In der Verwaltung von Netzwerken (Server/Spiegelserver/Backupsysteme) hat sich Unix durchgesetzt.

  2. 20.

    Ihre Empathie für Linux in allen Ehren, aber die Annahme, dass Linux aus irgendeinem Grund (mir ist keiner bekannt) "sicherer" sein soll als Windows ist Unfug. Ich hatte dazu geschrieben:
    "Man muss allerdings sagen, dass die Annahme, Linux sei sicherer, falsch ist. Linux hat den Vorteil, dass es nicht soweit verbreitet ist. In der Windowsanfangszeit, als die Angriffe von frustierten Windowsgegnern erfolgten, wurden Linuxsysteme absichtlich verschont.
    Im Übrigen ist vermutlich eine Ungenauigkeit im Bericht. Die gesamte IT-Hintergrundsoftware läuft meistens auf Unix, vermutlich auch an der TU. Man schafft Übergänge von Unix auf Windows, weil die Arbeitsplätze meist unter Windows laufen. Das hängt mit Benutzerfreundlichkeit und Beschaffung zusammen.
    Wenn das Netz ernsthaft geschädigt wurde erfolgte der Angriff zwar über Windows, richtete sich aber bei der Intensität gegen das Hintergrundbetriebssystem, vermutlich Unix."
    Linux und Windows sind gleichermaßen „gefährdet“.
    - 2 -

  3. 19.

    "Die Fachwelt ist sich sehr einig darüber, dass solche Vorfälle prinzipiell jeden erwischen können. Wenn solche Banden es so richtig auf einen abgesehen haben, fällt es schon sehr schwer, sich da zu wehren."
    Sorry, nein!
    Die Fachwelt ist sich sehr einig darüber, dass man mit Backups und einem Disaster-Recovery-Plan auch eine große Uni innerhalb weniger Tage (und nicht MONATE) wieder in den geordneten Betrieb überführen kann.
    Ebenfalls, dass Sparen am falschen Ende wie z.B. an der IT und speziell der IT-Security irgendwann sehr viel höhere Kosten und sehr viel höheren Aufwand erfordert.
    Ebenfalls, dass die Behauptung "das waren Hacker - da kann man nichts machen" eine glatte Lüge ist.
    Ebenfalls, dass wer solche Behauptungen aufstellt, nichts dazu gelernt hat und bald wieder "Opfer" wird. https://venturebeat.com/2021/06/16/cybereason-80-of-orgs-that-paid-the-ransom-were-hit-again/

  4. 18.

    Manch einer glaubt immer noch den Mythos, dass Windows am weitesten verbreitet ist, dass Linux nur wegen seiner "geringen" Verbreitung "sicher" ist.
    Das ist Blödsinn.
    Fakten:
    - Linux ist das am weitesten verbreitete Betriebssystem. Im Serverbereich. Bei Routern. Bei IoT etc.
    - Weder Linux noch Linux-Distributionen inklusive ihrer UIs haben bei weitem nicht so viele Sicherheitslücken wie Windows gehabt.
    - Die Schwere der Sicherheitslücken unter Windows ist wesentlich höher.
    - Ransomware-Angriffe laufen zu 100% über Windows-Systeme.
    - Das Problem liegt auf Ebene 8. Das ist meist mit Windows verknüpft. Wäre es mit Linux verknüpft, würde es auch eine (zumindest etwas) höhere Kompetenz bedeuten und eine geringere Wahrscheinlichkeit, zu einem Ransomware-Opfer zu werden.
    - Ein gehackter Linuxserver kann als Jumphost dienen, erfordert meist viel manuelle Arbeit, weitere Hosts zu kompromittieren. Ransomware im Windows-Netzwerk erledigt Dutzende bis hundert Rechner auf einen Schlag!

  5. 17.

    Auch hierfür gibt es Lösungen. Die Schnittstellen werden für handelsübliche USB-Geräte intern gesperrt und sind nur mit firmeneigenen registrierten USB-Sticks, mit installiertem Sicherheitstool (Software), nutzbar. Vor der Freigabe für den Zugriff erfolgt ein Antivierenscan des externen Datenträgers.
    Ein anderes Erfordernis ist konsequent auf WLAN zu verzichten. Man muss dann Gebäude verkabeln und die Geräte mit Patchkabeln anschließen.
    Auch in Notebooks implantierte Kameras werden oft deaktiviert. Ich kenne eine Firma, die im Behördenauftrag Kameras sogar ausbaut, was dann die sicherste Methode ist.

    Aber wie gesagt, ob und was gemacht wird (#6, #11)ist abhängig von der erforderlichen Schutzstufe.

  6. 16.

    Vielleicht nicht gegen Datendiebstahl, jedoch dagegen, dass das ganze System monatelang unbrauchbar ist helfen Backups und ordentliche Infrastruktur. Leider sind desaster recovery und business continuity wohl keine Themen bei der TU. Eine Firma wäre dann halt bankrott, bei der Uni ist es scheinbar egal.

  7. 15.

    Mal ganz ehrlich. Alle Maßnahmen nützen nichts sobald einer seinen privaten USB Stick ansteckt. Der Schwachpunkt jedes Sicherheitssystems sitzt 20 cm vor dem Monitor.

  8. 14.

    Ganz ehrlich. Die TU Berlin ist so marode, die Verwaltung ist unfassbar unfähig. Da funktionierte auch schon vorher nie etwas richtig. Ich glaube jeder, der an dieser Uni studiert hat, wird absolut verstehen können, warum da seit Monaten nicht gearbeitet wird, wurde vor dem Angriff nämlich schon nicht….

  9. 13.

    Security through obscurity: "Was genau sie sonst an ihren Systemen verändert hat, will sie aus Sicherheitsgründen nicht veröffentlichen."

    Funktioniert nicht. Niemals.

  10. 12.

    Ja, wenn man erstmal alles kaputt gespart hat und kein angemessenes Gehalt bezahlt, bekommt man eben nur die Leute, die der Meinung sind, dass man gegen "Hacker-Angriffe" nichts machen kann. Das ist natürlich Quatsch - sogar ein Windows-Netz bekommt man sicher aufgebaut. Aber dadurch, dass diese Überschrift auch noch den Ausspruch zitiert, bekommt man hier den Eindruck, dass die Reaktion diese von völliger Unfähigkeit getragene Meinung auch noch teilt.

  11. 11.

    Was die Sensibilisierung von Mitarbeitern angeht haben sie recht. Der Rest läuft anders.
    Solche internen Netzwerke (Intranet) funktionieren etwas anders. Es gibt kein tägliches Backup, wie sie es evtl. machen, sondern die Daten werden in Echtzeit gespeichert und gespiegelt. Darunter versteht man die Ablage auf einem anderen Serversystem.
    Emails gehen, je nach Sicherheitsstufe des Systems (Risikoeinstufung nach BSI-Grundschutz), in einen Prüfbereich. Der Inhalt und insbesonder Anlagen werden dort auf Schadsoftware geprüft. In das Ergebnis unklar kommen sie in Quarantäne und es gibt eine Systeminfo. U.U. ist es sogar möglich, dass Anlagen mit bestimmten Dateitypen grundsätzlich untersagt sind. Die werden dann erst gar nicht geprüft.

    Die Zeit die wir privat aufwenden hat man in solchen Systemen nicht.

  12. 10.

    @Django, hast du eine Quelle zu deinen Vorwürfen? Soweit ich es verstanden habe, war es eine ransomeware Attacke , sowas betrifft erstmal nur die Windows Systeme. Supergau war wohl dass deren SAP-Kernsystem mitbetroffen war, sowas läuft auf Unix Servern nicht Linux Servern. Aber so oder so, niemand sagt das Linux/unix nicht hackbar sind, aber wenn auf windows spezialisierte massenviren es schaffen dein SAP-Kernsystem auf nen UNix Server zu befallen, dann muss man bei der Konfig so verschiessen haben, dass egal was die da als server nehmen es so stabil ist wie ein Kartenhaus.

    PS: mit ordentlicher BackUp Infrastruktur sollte selbst so ein Fusch keine Monate dauern bis alles wieder rennt, wenn es wirklich nur ne ransomewar war.

  13. 9.

    100% Sicherheit gibt es in der IT nicht. Es hilft nur Mitarbeiter schulen im Umgang mit E-mails und täglich mehrfache Backups, wobei mindestens eins physikalisch abgekoppelt wird (USB Festplatte oder NAS LAN Kabel abziehen), damit Ransomware nicht in der Lage ist dort zu verschlüsseln. Bei einem Angriff hat man dann nur einen Tag nachzuarbeiten.

  14. 8.

    Mein Informationsstand ist, dass die Angreifer über einen unzureichend gesicherten Linuxserver an einer Fakultät eingedrungen sind. Soviel zu "mit Linux wär das nicht passiert".

  15. 7.

    Schon klar, das inner TU viel mehr PCs angeschlossen sind als zuhause aber Adrians Tipp mit dem Backups und Patsches verstehe ich nicht so ganz. Hat denn die TU kein Kaspersky oder Gdata aufm PC? Hauptsache ist doch aus meiner Sicht, dass die Kiste läuft: Einschalten und fertig, ganz egal ob Windows oder Apple oder Lumix. Klaro ist auch, dass inner Verwaltung oder sonst wo auf Arbeit der PC mehr ne Notlösung darstellt und vom Benutzer reichlich Betreuung erwartet statt beim Arbeiten zu unterstützen oder Stumpfsinniges obsolet zu machen. Die Realität ist eher andersrum: Viele Jobs werden erst schwachsinnig und zeitraubend durch PCs. Freue mich für die TU, wenns jetzt wieder flutscht wie geschmiert.

  16. 6.

    Ich nutze beides. Man muss allerdings sagen, dass die Annahme, Linux sei sicherer, falsch ist. Linux hat den Vorteil, dass es nicht soweit verbreitet ist. In der Windowsanfangszeit, als die Angriffe von frustierten Windowsgegnern erfolgten, wurden Linuxsysteme absichtlich verschont.
    Im Übrigen ist vermutlich eine Ungenauigkeit im Bericht. Die gesamte IT-Hintergrundsoftware läuft meistens auf Unix, vermutlich auch an der TU. Man schafft Übergänge von Unix auf Windows, weil die Arbeitsplätze meist unter Windows laufen. Das hängt mit Benutzerfreundlichkeit und Beschaffung zusammen.
    Wenn das Netz ernsthaft geschädigt wurde erfolgte der Angriff zwar über Windows, richtete sich aber bei der Intensität gegen das Hintergrundbetriebssystem, vermutlich Unix.

  17. 5.

    Warum ist die Münchener Stadtverwaltung von Limux wieder weg? Weil es eine politische Entscheidung ist.

  18. 4.

    Nein tu ich nicht. Ich bin selbst ITler und habe Erfahrung als Systemadministrator an der Uni. Die TU hat einfach ihre Infrastruktur nicht richtig aufgesetzt.

  19. 3.

    Warum wird an der UNI Windows benutzt? Ich nutze schon seit Jahren nur noch Linux privat. Nur bei einigen PDF Formularen oder wenn ich auf Dateien im Web-Dav zugreifen muss gibt es Probleme (Codierung, Schriftart).

  20. 2.

    Ach Adrian, verwechseln sie ihren heimischen PC mit einer Infrastruktur wie der der TU? Soviel geballte Unwissenheit.

Nächster Artikel