Digital
Liechtenstein

Die Uni Liechtenstein ist seit drei Wochen down – das steckt dahinter

Ziel einer Hackerattacke: Campus der Universität Liechtenstein in Vaduz.
Ziel einer Hackerattacke: Campus der Universität Liechtenstein in Vaduz.

Uni Liechtenstein ist nach Hackerattacke seit drei Wochen down – das steckt dahinter

In der Nacht vom 15. auf den 16. August wurde die Uni Liechtenstein gehackt. Drei Wochen später sind viele IT-Systeme weiter offline. Das Beispiel anderer Unis zeigt, dass die Behebung der Folgeschäden mehrere Monate dauern kann.
04.09.2021, 11:5705.11.2021, 09:29
Mehr «Digital»

Es war ein böses Erwachen nach dem Nationalfeiertag an der Universität Liechtenstein in Vaduz. Die erste und einzige Uni im Fürstentum mit rund 800 Studierenden und 200 Angestellten wurde Mitte August das Opfer einer Ransomware-Attacke, wie watson berichtete. Unbekannte Kriminelle drangen in die Uni-Systeme ein und legten alle lokalen IT-Systeme mit einem Verschlüsselungs-, bzw. Erpressungstrojaner lahm.

Zunächst war die Uni vollständig ausser Gefecht gesetzt: Mitarbeitende hatten temporär keinen Zugriff auf ihre E-Mail-Konten, Studierende können sich bis heute nicht wie gewohnt für Lehrveranstaltungen anmelden und die reguläre Webseite ist nach wie vor offline. Auf www.uni.li wird mit einer provisorischen Webseite über die Folgen der Hacker-Attacke informiert, alle anderen Seiten und die Login-geschützten Bereiche sind offline.

«Die Anmeldung zu den fakultätsübergreifenden Wahlfächern muss dieses Semester anders als üblich durchgeführt werden», teilte die Uni den Studierenden mit. Dafür musste in Eile ein entsprechendes Tool aufgesetzt werden. Allgemeine Informationen an Studierende werden behelfsmässig über den Online-Speicherdienst Dropbox zur Verfügung gestellt.

Hacker legen Hardware und Software lahm

Drei Wochen nach dem Ransomware-Angriff kämpft die Uni immer noch mit den Folgen des Hacks, der offenbar massiv war: «Grundsätzlich sind alle IT-Systeme der Universität Liechtenstein (Hardware und Software) durch den Ransomware-Angriff betroffen», bestätigt Herwig Dämon, Leiter der Kommunikation, auf Anfrage. Die Hacker legten beispielsweise auch die digitale Schliessanlage des Universitätsgebäudes lahm.

Verschont blieben nur jene «Anwendungen, die im Rahmen des laufenden IT-Programms im Vorfeld in die Cloud ausgelagert worden sind», so Dämon.

Systeme könnten monatelang ausfallen

Bei früheren angegriffenen Universitäten zeigte sich, dass die Bewältigung einer massiven Ransomware-Attacke Monate dauern kann. Die Technische Universität Berlin war Ende April 2021 Ziel einer Cyberattacke. Die Behebung der Folgeschäden läuft über vier Monate später noch immer. Der zeitliche Aufwand ist enorm, da unzählige IT-Systeme nicht nur wiederhergestellt, sondern auch sicherer gemacht werden müssen. Denn die Gefahrenlage nimmt ständig zu oder anders gesagt: Nach dem Hack ist vor der nächsten Cyberattacke.

Semesterstart mit Corona und Erpressungstrojaner

Der Ransomware-Angriff auf die Uni Liechtenstein von Mitte August fiel in die Semesterferien. Glück im Unglück, könnte man meinen. Doch am 1. September hat das neue Semester begonnen und Mitarbeitende und Studierende müssen weiterhin auf diverse IT-Systeme verzichten. Das macht den Semesterstart in Coronazeiten nicht einfacher.

In Vaduz wurden inzwischen erste Fortschritte erzielt: «Glücklicherweise ist es uns gelungen, den Zugriff auf unsere Daten wiederzuerlangen», schreibt die Uni. Daher konnte Anfang September das Wintersemester trotz allem Ungemach starten.

Uni warnt Mitarbeitende und Studierende vor weiteren Risiken

Die Uni reagierte nach der Ransomware-Attacke schnell und informierte bereits am nächsten Tag über den Angriff. Dabei wurde auch ein möglicher Datenabfluss nicht verschwiegen.

Angestellte und Studierende werden auf der provisorischen Webseite über die weiteren möglichen Risiken der Malware-Attacke informiert:

«Ein wichtiger Sicherheitshinweis für alle Dozierenden, Studierenden und Mitarbeitenden: Sollten Sie das Passwort für Ihren Uni-Account auch für private Accounts (Google, Amazon, Facebook etc.) verwendet haben, ändern Sie diese umgehend. Aktivieren Sie bei den privat verwendeten Accounts ausserdem die 2-Faktor-Authentisierung, sofern dies angeboten wird.»
Warnung der Universität LiechtensteinUniversität Liechtenstein

Bei einer Ransomware-Attacke ist es wahrscheinlich, dass die Täter nicht nur IT-Systeme blockieren, sondern auch Daten stehlen. Davon betroffen sind meist auch Mitarbeitende oder in diesem Fall Studierende. Daher sollte man für Uni- und Firmen-Konten nie das gleiche Passwort wie für das private E-Mail-Konto nutzen.

Hacker sichern sich mit dem Datenklau zusätzlich ab: Können die Opfer ihre verschlüsselten IT-Systeme mittels Backup wieder herstellen, drohen die Erpresser damit, die gestohlenen Daten zu veröffentlichen oder wertvolle Informationen wie Passwörter, Postadressen oder Sozialversicherungsnummern auf einschlägigen Untergrund-Marktplätzen an den Höchstbietenden zu verkaufen. Auch in diesem Fall ist ein Datenabfluss ein zumindest realistisches Szenario.

Mehrere Fragen bleiben offen

Die Uni schreibt:

«Offen ist nach wie vor, wer für diesen Ransomware-Angriff verantwortlich ist. Der Universität Liechtenstein sind diesbezüglich keine Forderungen bekannt. Strafanzeige wurde erstattet, die Polizei ermittelt.»
Universität Liechtenstein

Auch drei Wochen nach dem Hack bleiben mehrere Fragen ungeklärt:

Wurden Daten gestohlen? Von der Uni oder auch von Angestellten und Studierenden?

Warum wurden IT-Systeme verschlüsselt und danach kein Lösegeld gefordert? In der Regel hinterlassen Angreifer eine Nachricht mit der Aufforderung, ein Lösegeld zu überweisen. Im Gegenzug werden die gesperrten IT-Systeme oft wieder hergestellt, eine Garantie dafür haben die Opfer natürlich nicht.

Und: Wie drangen die Angreifer in die Uni-Systeme ein? Oft beginnen Ransomware-Angriffe mit Phishing-Angriffen, wobei Kriminelle durch Ausnutzung eines Fehlers oder Versehens seitens eines Mitarbeitenden Zugang zum IT-System gewinnen. Die Hacker bauen beispielsweise die Webseite einer Uni nach, um die Login-Daten der Betroffenen zu erbeuten.

Unis sind beliebte Angriffsziele

Hochschulen sind dankbare Ransomware-Opfer, da es naturgemäss zahlreiche Einfallstore gibt (Campusrechner, Bibliothekscomputer etc.), viele Daten ausgetauscht werden und sie teils über kleine Sicherheitsteams verfügen. Zudem können Studierende auf gewisse Systeme auch von ihren privaten Geräten zugreifen.

Universitäten geraten denn auch immer wieder ins Visier von Erpressungs-Hackern. «Mit unseren Sicherheitsmassnahmen fangen wir täglich Tausende unerwünschte E-Mails im Zusammenhang mit Phishing, Spam und Malware ab», sagte Eva Tschudi, Leiterin Kommunikation der Ostschweizer Fachhochschule am Donnerstag gegenüber dem Tagblatt. «Auf diesem oder anderen Wegen finden immer wieder Verschlüsselungstrojaner den Weg ins Haus.» Bei anderen Bildungsinstitutionen dürfte es nicht anders aussehen.

Seitens Universität Liechtenstein wird auf die laufenden Ermittlungen verwiesen: Aufgrund der Ermittlungen, an denen die Landespolizei Liechtenstein beteiligt ist, könne man keine weiteren Ausführungen machen.

In den letzten Tagen und Wochen wurden diverse Ransomware-Angriffe auf Schweizer Firmen und Behörden bekannt: etwa Comparis, die Pallas Kliniken und die von watson aufgedeckten Vorfälle bei Saurer, Habasit, Rolle und Matisa. Sie zeigen exemplarisch: Jede und jeder kann von einer Ransomware-Attacke betroffen sein. Wichtig ist, sich strategisch auf eine solche Krise vorzubereiten und einen Notfallplan zu haben.

Opfer einer Ransomware-Attacke? Darum sollten Betroffene nicht bezahlen
Das Projekt «No More Ransom» stellt kostenlose Entschlüsselungstools für Opfer von Ransomware-Attacken zur Verfügung. Aktuell werden 121 kostenlose Decryption-Tools, die 151 Ransomware-Familien entschlüsseln können, zur Verfügung gestellt. Mehr als sechs Millionen Ransomware-Opfer konnten so in den letzten fünf Jahren ihre Dateien entschlüsseln, ohne Lösegeld zu zahlen. Den Erpressern sollen bislang 900 Millionen Euro (973 Millionen Franken) entgangen sein. Hinter dem Projekt «No More Ransom» stehen Europol, die niederländische Polizei, Kaspersky und McAfee.
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Ransomware – Angriff der Verschlüsselungstrojaner
1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
Wenn diese hässliche Fratze auf dem Bildschirm auftaucht, ist es zu spät ...
quelle: screenshot: youtube
Auf Facebook teilenAuf X teilen
Wir haben Malbun beleidigt – so kontern die Liechtensteiner
Video: watson
Das könnte dich auch noch interessieren:
29 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Madison Pierce
04.09.2021 12:29registriert September 2015
Bitte verwendet in solchen Artikeln nicht mehr das Wort „Hacker“.

Ein Hacker ist ein technisch begabter und neugieriger Mensch, der sich manchmal (auch widerrechtlich) Zugang zu fremden Systemen verschafft. Er hat aber keine bösen Absichten und ist nicht auf Gewinn aus.

Die Leute, die fremde Systeme mit Malware infizieren, sind Kriminelle. Es geht ihnen nicht darum, technische Erkenntnisse zu erlangen, sondern nur um Geld. Häufig sind sie nicht mal technisch versiert, da man die Tools kaufen oder Angriffe in Auftrag geben kann.

Danke!
6910
Melden
Zum Kommentar
avatar
Der Klugscheisser
04.09.2021 13:50registriert September 2021
Sehr lobenswert wie von Seiten der Uni offen informiert wird und keine Details verschwiegen werden.
300
Melden
Zum Kommentar
29
Das steckt hinter den merkwürdigen Tonband-Anrufen, die Tausende Schweizer erhalten
Seit Wochen rollt eine neue Welle betrügerischer «Tonband»-Anrufe im Namen angeblicher Polizeibehörden über die Schweiz: Wie die Kriminellen vorgehen, was sie wollen und wie man sich davor schützt.

Schweizerinnen und Schweizer werden seit Monaten massenhaft mit Anrufen von Fake-Polizisten belästigt. Dabei ruft nicht mehr ein Mensch an, sondern eine «Maschine». Das erlaubt den Kriminellen, ihr betrügerisches Geschäftsmodell zu intensivieren. In den letzten Wochen hat die jüngste Angriffswelle alle Rekorde gebrochen, meldet das Bundesamt für Cybersicherheit.

Zur Story