Zunächst ein Rückblick: Am 7. Mai letzten Jahres wurde die Ruhr-Universität Bochum Opfer eines gezielt durchgeführten Cyberangriffs. Direkt nach Feststellung wurden alle windowsbasierten Serversysteme heruntergefahren, um das Ausbreiten der Verschlüsselungsaktivitäten einzudämmen. Die Analyse ergab, dass ca. 60 Serversysteme verschlüsselt wurden. Darunter elementar wichtige Systeme, wie das Active Directory der Ruhr-Universität Bochum, Exchange, SharePoint und zentrale Datenbanken. In der Auswirkung waren große Teile des Campus und der Verwaltung somit arbeitsunfähig, da E-Mail-Kommunikation, Terminierung und Dateizugriffe nicht verfügbar waren. Zentrale Systeme der Personal-, Studierenden- und Finanzverwaltung waren betroffen.
Nach dem Angriff wurden schnellstmöglich ein Notbetrieb eingeleitet, eine Kommunikationsstrategie zur Informationsversorgung entwickelt sowie die Bereinigung und der Wiederaufbau der betroffenen Systeme angegangen. Circa acht Wochen nach dem Angriff konnte der Regelbetrieb wiederaufgenommen werden. Entscheidend für diese schnelle Wiederherstellung waren die zu Rate gezogenen Experten, die sehr gute Zusammenarbeit mit der Hochschulleitung sowie die enorme Leistungsbereitschaft der Mitarbeiterinnen und Mitarbeiter. Der Vorfall wurde den Ermittlungsbehörden gemeldet. Ein Lösegeld wurde nicht gezahlt.
Cybercrime ist weltweit ein milliardenschweres Geschäft. Aus dieser Tatsache und den eigenen Erfahrungen leitet sich die Erkenntnis ab, dass die Bedrohungslage eher weiter zu- als abnimmt. Expert*innen sind sich einig: ein erneuter Angriff lässt sich nicht verhindern. Die Strategie für die RUB muss es daher sein, mögliche Angriffszugänge weiter zu reduzieren und im erneuten Angriffsfall die jeweiligen Auswirkungen davon zu minimieren.
Konkrete Maßnahmen wurden umgesetzt, bzw. befinden sich in der Umsetzung: So wurde ein neues Betriebskonzept mit „Brandschutzabschnitten“ für das Active Directory der RUB eingeführt. Dadurch können die Auswirkungen eines erneuten Angriffs lokaler gehalten werden. Daneben wurde ein neues Konzept zur Verwendung von Administrations-Accounts eingeführt. Die Einführung der neuen Sophos Endpoint Protection wurde vorangetrieben. Organisatorisch wurde gemäß den Vorgaben des Ministeriums für Kultur und Wissenschaft NRW die Absicherung nach IT-Grundschutz-Methodik des BSI initiiert. Dabei geht es immer darum die Systeme (insbesondere Netz- sowie Client- und Serversysteme) auf dem neuesten Stand zu halten und Maßnahmen zu implementieren, die eine optimale Ausgewogenheit aus Sicherheit und Bedienbarkeit mit sich bringen. Einer der wichtigsten Faktoren zur Reduzierung der Angriffsvektoren ist und bleibt dabei der Faktor Mensch. Das Ziel der Angreifer ist es, das potenzielle Opfer dazu zu bringen auf etwas zu klicken und damit ein Stück Software zur Ausführung zu bringen. Dazu setzen sie auf sehr menschliche Komponenten, insbesondere Neugier, Pflichtbewusstsein oder auch Scham. Wie bisher müssen wir auch in Zukunft auf Ihre Hilfe hoffen. Wenn es doch mal passiert ist: seien Sie sich bewusst, dass ein solcher Fehler jedem passieren kann. Schlimmes verhindern können wir nur, wenn Sie das schnellstmöglich weitergeben.
Nun, in diesem ständigen Auf und Ab der Angreifer und Verteidiger haben wir ein gehöriges Stück aufgeholt und die Hürde für die Angreifer in zentralen Bereichen höher gelegt. Der Vorfall hat dem Thema nicht nur an der RUB hohe Aufmerksamkeit verschafft. Diese ist und bleibt auch notwendig. Bei allen: Anwendern, Administratoren und denjenigen, die an einer Universität die Richtung bestimmen.
RUBinform 01/2021 | Haiko te Neues, IT.SERVICES
Bildquelle: iStock.com/erhui1979