Es war ein böses Erwachen nach dem Nationalfeiertag an der Universität Liechtenstein in Vaduz. Die erste und einzige Uni im Fürstentum mit rund 800 Studierenden und 200 Angestellten wurde Mitte August das Opfer einer Ransomware-Attacke, wie watson berichtete. Unbekannte Kriminelle drangen in die Uni-Systeme ein und legten alle lokalen IT-Systeme mit einem Verschlüsselungs-, bzw. Erpressungstrojaner lahm.
Zunächst war die Uni vollständig ausser Gefecht gesetzt: Mitarbeitende hatten temporär keinen Zugriff auf ihre E-Mail-Konten, Studierende können sich bis heute nicht wie gewohnt für Lehrveranstaltungen anmelden und die reguläre Webseite ist nach wie vor offline. Auf www.uni.li wird mit einer provisorischen Webseite über die Folgen der Hacker-Attacke informiert, alle anderen Seiten und die Login-geschützten Bereiche sind offline.
«Die Anmeldung zu den fakultätsübergreifenden Wahlfächern muss dieses Semester anders als üblich durchgeführt werden», teilte die Uni den Studierenden mit. Dafür musste in Eile ein entsprechendes Tool aufgesetzt werden. Allgemeine Informationen an Studierende werden behelfsmässig über den Online-Speicherdienst Dropbox zur Verfügung gestellt.
Drei Wochen nach dem Ransomware-Angriff kämpft die Uni immer noch mit den Folgen des Hacks, der offenbar massiv war: «Grundsätzlich sind alle IT-Systeme der Universität Liechtenstein (Hardware und Software) durch den Ransomware-Angriff betroffen», bestätigt Herwig Dämon, Leiter der Kommunikation, auf Anfrage. Die Hacker legten beispielsweise auch die digitale Schliessanlage des Universitätsgebäudes lahm.
Verschont blieben nur jene «Anwendungen, die im Rahmen des laufenden IT-Programms im Vorfeld in die Cloud ausgelagert worden sind», so Dämon.
Bei früheren angegriffenen Universitäten zeigte sich, dass die Bewältigung einer massiven Ransomware-Attacke Monate dauern kann. Die Technische Universität Berlin war Ende April 2021 Ziel einer Cyberattacke. Die Behebung der Folgeschäden läuft über vier Monate später noch immer. Der zeitliche Aufwand ist enorm, da unzählige IT-Systeme nicht nur wiederhergestellt, sondern auch sicherer gemacht werden müssen. Denn die Gefahrenlage nimmt ständig zu oder anders gesagt: Nach dem Hack ist vor der nächsten Cyberattacke.
Der Ransomware-Angriff auf die Uni Liechtenstein von Mitte August fiel in die Semesterferien. Glück im Unglück, könnte man meinen. Doch am 1. September hat das neue Semester begonnen und Mitarbeitende und Studierende müssen weiterhin auf diverse IT-Systeme verzichten. Das macht den Semesterstart in Coronazeiten nicht einfacher.
In Vaduz wurden inzwischen erste Fortschritte erzielt: «Glücklicherweise ist es uns gelungen, den Zugriff auf unsere Daten wiederzuerlangen», schreibt die Uni. Daher konnte Anfang September das Wintersemester trotz allem Ungemach starten.
Die Uni reagierte nach der Ransomware-Attacke schnell und informierte bereits am nächsten Tag über den Angriff. Dabei wurde auch ein möglicher Datenabfluss nicht verschwiegen.
Angestellte und Studierende werden auf der provisorischen Webseite über die weiteren möglichen Risiken der Malware-Attacke informiert:
Bei einer Ransomware-Attacke ist es wahrscheinlich, dass die Täter nicht nur IT-Systeme blockieren, sondern auch Daten stehlen. Davon betroffen sind meist auch Mitarbeitende oder in diesem Fall Studierende. Daher sollte man für Uni- und Firmen-Konten nie das gleiche Passwort wie für das private E-Mail-Konto nutzen.
Hacker sichern sich mit dem Datenklau zusätzlich ab: Können die Opfer ihre verschlüsselten IT-Systeme mittels Backup wieder herstellen, drohen die Erpresser damit, die gestohlenen Daten zu veröffentlichen oder wertvolle Informationen wie Passwörter, Postadressen oder Sozialversicherungsnummern auf einschlägigen Untergrund-Marktplätzen an den Höchstbietenden zu verkaufen. Auch in diesem Fall ist ein Datenabfluss ein zumindest realistisches Szenario.
Die Uni schreibt:
Auch drei Wochen nach dem Hack bleiben mehrere Fragen ungeklärt:
Wurden Daten gestohlen? Von der Uni oder auch von Angestellten und Studierenden?
Warum wurden IT-Systeme verschlüsselt und danach kein Lösegeld gefordert? In der Regel hinterlassen Angreifer eine Nachricht mit der Aufforderung, ein Lösegeld zu überweisen. Im Gegenzug werden die gesperrten IT-Systeme oft wieder hergestellt, eine Garantie dafür haben die Opfer natürlich nicht.
Und: Wie drangen die Angreifer in die Uni-Systeme ein? Oft beginnen Ransomware-Angriffe mit Phishing-Angriffen, wobei Kriminelle durch Ausnutzung eines Fehlers oder Versehens seitens eines Mitarbeitenden Zugang zum IT-System gewinnen. Die Hacker bauen beispielsweise die Webseite einer Uni nach, um die Login-Daten der Betroffenen zu erbeuten.
Hochschulen sind dankbare Ransomware-Opfer, da es naturgemäss zahlreiche Einfallstore gibt (Campusrechner, Bibliothekscomputer etc.), viele Daten ausgetauscht werden und sie teils über kleine Sicherheitsteams verfügen. Zudem können Studierende auf gewisse Systeme auch von ihren privaten Geräten zugreifen.
Universitäten geraten denn auch immer wieder ins Visier von Erpressungs-Hackern. «Mit unseren Sicherheitsmassnahmen fangen wir täglich Tausende unerwünschte E-Mails im Zusammenhang mit Phishing, Spam und Malware ab», sagte Eva Tschudi, Leiterin Kommunikation der Ostschweizer Fachhochschule am Donnerstag gegenüber dem Tagblatt. «Auf diesem oder anderen Wegen finden immer wieder Verschlüsselungstrojaner den Weg ins Haus.» Bei anderen Bildungsinstitutionen dürfte es nicht anders aussehen.
Seitens Universität Liechtenstein wird auf die laufenden Ermittlungen verwiesen: Aufgrund der Ermittlungen, an denen die Landespolizei Liechtenstein beteiligt ist, könne man keine weiteren Ausführungen machen.
In den letzten Tagen und Wochen wurden diverse Ransomware-Angriffe auf Schweizer Firmen und Behörden bekannt: etwa Comparis, die Pallas Kliniken und die von watson aufgedeckten Vorfälle bei Saurer, Habasit, Rolle und Matisa. Sie zeigen exemplarisch: Jede und jeder kann von einer Ransomware-Attacke betroffen sein. Wichtig ist, sich strategisch auf eine solche Krise vorzubereiten und einen Notfallplan zu haben.
Ein Hacker ist ein technisch begabter und neugieriger Mensch, der sich manchmal (auch widerrechtlich) Zugang zu fremden Systemen verschafft. Er hat aber keine bösen Absichten und ist nicht auf Gewinn aus.
Die Leute, die fremde Systeme mit Malware infizieren, sind Kriminelle. Es geht ihnen nicht darum, technische Erkenntnisse zu erlangen, sondern nur um Geld. Häufig sind sie nicht mal technisch versiert, da man die Tools kaufen oder Angriffe in Auftrag geben kann.
Danke!