Digital
Schweiz

Cyberangriff auf Universität Zürich wirft unbequeme Fragen auf

Luftaufnahme vom Hauptgebäude der Universität Zürich
© Universität Zürich; Manfred Richter
Die grösste aller Schweizer Universitäten wird über das Internet attackiert.Bild: Universität Zürich
Analyse

Der anhaltende «Cyberangriff» auf die Universität Zürich wirft Fragen auf

Hält eine berüchtigte Ransomware-Bande die grösste Schweizer Universität in Atem? Und weshalb gehen die Attacken weiter? Ein renommierter IT-Sicherheitsexperte kommt zu einer kritischen Einschätzung.
03.02.2023, 18:0503.02.2023, 22:03
Mehr «Digital»

Wie gravierend ist der «Cyberangriff» auf die Universität Zürich (UZH) wirklich? Die bisher vorliegenden Informationen zeichnen ein unvollständiges Bild, so wie es häufig der Fall ist, wenn sich Ransomware-Attacken ereignen.

Aber ist es wirklich eine Aktion russischer Hacker? Die «NZZ» sprach noch am Donnerstag, als die Universität die Attacke publik gemacht hatte, mit einem Medienbeauftragten – und dessen Antworten warfen neue Fragen auf.

Die Medienstelle der Uni wollte am Freitag auf Anfrage von watson noch keine detaillierten Auskünfte erteilen. Die entsprechende Begründung lässt aufhorchen:

«Die UZH befindet sich mitten in der Abwehr der Cyberangriffe. Wir bitten Sie deshalb um Verständnis dafür, dass wir im Moment aus taktischen Gründen keine detaillierten Auskünfte zum Cyberangriff oder zu Abwehrmassnahmen geben können.»
Beat Müller, Leiter Media Relations

watson hat den renommierten IT-Sicherheitsexperten Marc Ruef um eine kritische Einschätzung gebeten und erklärt, warum der Fall ziemlich ungewöhnlich erscheint.

Wer steckt hinter dem «Cyberangriff»?

Das wissen wir nicht.

Die Universität selbst stellt in ihrer Mitteilung eine Verbindung zu früheren Ransomware-Attacken her.

«Die Urheber scheinen äusserst professionell vorzugehen und reihen sich in eine aktuelle Häufung von Angriffen auf Bildungs- und Gesundheitsinstitutionen ein. Nur schon im deutschsprachigen Raum erfolgten in den letzten Wochen mehrere Angriffe auf Hochschulen, in derer Folgen diese ihre IT-Dienstleistungen über längere Dauer einstellen mussten. Die Angriffe erfolgen meist über die Kompromittierung mehrerer Einzel-Accounts sowie -Systeme.»
quelle: uzh.ch

Dieses Vorgehen wäre typisch für die gefährlichsten, meist aus Russland operierenden Ransomware-Banden.

Infrage käme etwa die Gruppierung Vice Society. Sie wurde in der Schweiz durch den Angriff auf die Gemeinde Rolle VD und das Leaken schützenswerter Daten bekannt. Und sie führt von allen Banden am meisten Attacken gegen Bildungsinstitutionen, seien dies Volksschulen oder Universitäten.

Was hat es mit den DDoS-Attacken auf sich?

Gegenüber der NZZ sprach ein Medienbeauftragter der Uni von Angriffen, die sich «seit einigen Tagen» verschärft hätten. Und weiter: Die Hacker hätten auf verschiedenste Arten das Netzwerk der Universität auf die Probe gestellt.

«Zum Teil handelte es sich um Distributed-Denial-of-Service-Angriffe (DDos) – eine geballte Vielzahl an Attacken, die das System zum Kollaps führen sollen. Die Uni-IT konnte diese abwehren.»
quelle: nzz.ch

Hier reagiert Sicherheitsexperte Ruef verwundert:

«Dass Angreifer sowohl destruktive DDoS-Attacken als auch eine Kompromittierung [der IT-Netzwerke des Opfers] anstreben, ist sehr unüblich. Das eine Geschäftsmodell hat nichts mit dem anderen zu tun. Zudem werden konstruktive Angriffe schwierig, wenn zeitgleich die Zielumgebung gestresst wird.»

Zu ergänzen ist, dass die äusserst aktive Ransomware-Bande Lockbit letztes Jahr durchblicken liess, dass sie in Zukunft auch DDoS-Attacken einsetzen könnte, um zahlungsunwillige Opfer weiter einzuschüchtern. Das US-Medium Bleeping Computer konstatierte, dass die Kriminellen damit auf dreifache Erpressung («Triple Extortion») setzen würden.

Zuvor hatte schon das FBI davor gewarnt, dass Kriminelle Server-Überlastungsangriffe als Druckmittel einsetzen können, um Opfer zu Verhandlungen zu zwingen. Und kleinere, gezielte DDoS-Angriffe könnten als Tarnung für das Installieren von Schadsoftware (Infiltration) oder das heimliche Stehlen von Daten (Exfiltration) gestartet werden.

Warum sollen alle Uni-Angehörigen ihre Passwörter ändern?

Auf der UZH-Website prangte nach dem Publikmachen des Cyberangriffs am Donnerstag eine Aufforderung, die aufhorchen lässt. Die IT-Verantwortlichen riefen zur Änderung aller Passwörter für die Uni-Systeme auf.

«Zum Schutz der Universität Zürich sowie der eigenen individuellen Daten sind hiermit alle UZH-Angehörigen (Studierende, Angestellte, Dozierende) aufgefordert, ihre Passwörter aller Accounts umgehend im Identity Management zu ändern.»
quelle: unizh.ch

Beim «Identity Management Service» handelt es sich um die zentrale Verwaltung aller Personen und Accounts durch den universitären Informatik-Dienstleistungsbetrieb.

Alle Mitarbeitenden und Studierenden wurden auch per E-Mail aufgefordert, ihre Passwörter zu ändern.

Der Schweizer IT-Sicherheitsexperte und ehemalige Hacker Marc Ruef beurteilt diesen Schritt kritisch:

«Die Aufforderung der Änderung der Passwörter ist nur dann sinnvoll, wenn klar ist, dass eben diese Login-Daten kompromittiert wurden. Zum Beispiel, weil sie durch eine Bruteforce-Attacke ermittelt, bei der Eingabe abgefangen oder aus einem anderen Leak extrahiert wurden.»

Der Sicherheitsexperte warnt:

«Ist dies nicht der Fall, dann ist das Ändern der Passwörter unter Umständen gar kontraproduktiv, da die Angreifer durch diese Massnahme die Passwörter abgreifen könnten.»

Update: Die Einschätzung von Ruef scheint sich zu bestätigen. Am frühen Freitagabend machte der «Beobachter» publik, dass Login-Daten der Uni in einem Hacker-Forum zum Kauf angeboten wurden (dazu weiter unten mehr).

Warum wurde der VPN-Zugang geändert?

Auch das Log-in zum Virtual Private Network (VPN) der Universität haben die IT-Spezialisten neu aufgesetzt, wie die NZZ schreibt. «So konnten wir neue Eintrittsmöglichkeiten unterbinden», wird der Medienbeauftragte zitiert.

Zur Erklärung: Mit einem VPN-Dienst wird eine sichere Verbindung erstellt, die zum Beispiel vom privaten PC des Professors übers Internet zum Uni-Netzwerk führt. Alle Daten, die durch diesen virtuellen «Tunnel» fliessen, sind verschlüsselt.

Sicherheitsexperte Marc Ruef sagt:

«Das ‹Neuaufsetzen des VPN› ist nur dann erforderlich, wenn es den Angriffen nicht standhalten konnte oder mittelfristig nicht standhalten kann. Sich erst während einer laufenden Attacke um die Verbesserung zu kümmern, ist eigentlich ein Zeichen, dass man die Risiken bisher nicht ernst genommen hat.»

Im akademischen Umfeld werde Offenheit und Freiheit gross geschrieben, kommentiert Ruef. Dies kollidiere «leider mit den Bedürfnissen von Cybersecurity». Viele Institutionen vernachlässigten deshalb bewusst das Thema.

Ob dies bei der Universität Zürich der Fall war, ist nicht bekannt. Die bisherigen Informationen und die anhaltenden Cyberattacken liessen noch keinen Schluss zu.

Ist die Situation unter Kontrolle?

Laut Uni-Mitteilung wurden die Abwehr-Massnahmen umgehend verstärkt und man begegne den Angriffen «mit internen Mitteln sowie externer Unterstützung».

Allerdings hielten die Attacken am Freitag an.

Dazu IT-Sicherheitsexperte Ruef:

«Es macht den Anschein, als müsste man gegenwärtig einem Katz-und-Maus-Spiel nachgehen und die Angriffsversuche manuell abwehren. Dies wird sehr viel Zeit, Ressourcen und Kosten binden. Eine IT-Umgebung muss inhärent robust aufgebaut sein, so dass sie grundlegende Angriffsversuche ohne manuelles Zutun abwehren kann. Andernfalls ist sie schlichtweg nicht betreibbar.»

Auf der Uni-Webseite wurde am Freitagmittag unter dem Betreff «Support» ein weiterer Hinweis aufgeschaltet, der zeigt, dass die IT-Verantwortlichen stark gefordert sind:

«Aktuell können bei der Nutzung von verschiedenen IT-Dienstleistungen Verzögerungen oder Fehler auftreten. Bei andauernden Problemen wenden Sie sich bitte an die Zentrale Informatik.»
quelle: uzh.ch

Die gute Nachricht: Bis anhin (Stand: Freitagabend, 17 Uhr), scheint die IT-Infrastruktur standzuhalten. Und auch der Webauftritt der Universität ist normal erreichbar.

Wie konnten die Angreifer ins Uni-Netzwerk eindringen?

Laut offizieller Mitteilung der Universität wurden Accounts «kompromittiert» und gewisse IT-Systeme mussten isoliert werden. Es gebe bisher aber keine Indizien für «ein Eindringen in geschütztere Zonen und Systeme».

Am Freitagabend machte der Techjournalist Otto Hostettler vom «Beobachter» eine beunruhigende Entdeckung publik:

«Recherchen des Beobachters zeigen: Login-Daten von über einem Dutzend Server der Universität Zürich werden in einem Hacker-Forum bereits seit über zwei Wochen zum Kauf angeboten. Für lediglich 10 Dollar kann jeder ohne grosse technische Kenntnisse das Paket mit einer ganzen Reihe Nutzernamen und Passwörtern kaufen.»
quelle: beobachter.ch

Die Zugangsdaten der Universität würden (Stand: 3.2., 18 Uhr) weiterhin im Angebot eines sogenannten Access-Brokers geführt. Also eines kriminellen Zwischenhändlers.

Im «Beobachter»-Bericht wird der Gründer und Inhaber des IT-Securityfirma Cyberfunk, Abdelkader Cornelius, zitiert:

«Offenbar haben es die Verantwortlichen der Uni verpasst, einschlägige Plattformen nach Zugangsdaten abzusuchen.»

Dies würde erklären, warum die Universität von einem relativ massiven Angriff überrascht wurde.

Wie gross ist der Schaden?

Dazu liegen noch keine gesicherten Erkenntnisse vor. Aufgrund der vorliegenden Informationen kann keine Entwarnung gegeben werden. Im Gegenteil!

Die Universität sorge sich «um die Sicherheit von Forschungsdaten sowie über einen allfälligen Verlust von Angaben, die den Persönlichkeitsschutz verletzen könnten», heisst es.

Deshalb hätten die Uni-Verantwortlichen auch Experten aus dem Bereich Datenschutz, die Kantonspolizei sowie andere Hochschulen mit einbezogen. Gegenüber srf.ch bestätigte ein Polizeisprecher am Freitag, dass ermittelt werde.

In erhöhter Alarmbereitschaft dürften auch alle anderen Schweizer Hochschulen und weitere Bildungseinrichtungen sein. Wenn es den Angreifern gelingt, Nutzerkonten zu kapern, können sie damit schwer zu erkennende Attacken per E-Mail ausführen, auch «Spear-Phishing» genannt.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Ransomware – Angriff der Verschlüsselungstrojaner
1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
Wenn diese hässliche Fratze auf dem Bildschirm auftaucht, ist es zu spät ...
quelle: screenshot: youtube
Auf Facebook teilenAuf X teilen
Das ist der neue Google-Campus in Zürich
Video: watson
Das könnte dich auch noch interessieren:
16 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
The Destiny // Team Telegram
03.02.2023 19:01registriert Mai 2014
«Wenn es den Angreifern gelungen ist, Nutzerkonten zu kapern, drohen gezielte Phishing-E-Mails.»

Das war mein erster Gedanke, als ich die Info-Mail mit der Aufforderung zum Ändern des Passworts gelesen habe.
553
Melden
Zum Kommentar
avatar
Terraner
03.02.2023 22:17registriert April 2020
Eine IT-Umgebung muss inhärent robust aufgebaut sein, so dass sie grundlegende Angriffsversuche ohne manuelles Zutun abwehren kann.

Schöne heile Welt. Nur die wenigsten ITler haben echte Erfahrung mit solchen Angriffen. Wer dies einmal erlebt hat, weiss wie mühsam eine Abwehr von DDoS Attacken ist.

Zwischen legitimem und schlechten Verkehr zu unterscheiden ist nicht so trivial. Abwehren ist leicht, nur das dann auch noch alle Dienste weiterhin einwandfrei Funktionieren ist nicht so einfach.
203
Melden
Zum Kommentar
avatar
Tauri7
03.02.2023 20:42registriert Februar 2023
Hut ab an die IT.
204
Melden
Zum Kommentar
16
VW verrät Startdatum und Preis für sein erstes wirklich günstiges Elektroauto
VW will seine Auswahl bei den E-Autos um einen Kleinwagen erweitern. Der ID.1 soll 20'000 Euro kosten. Nun nennt Volkswagen erstmals den Starttermin für den Einstiegs-Stromer.

Volkswagen will 2027 erstmals ein Elektroauto für 20'000 Euro auf den Markt bringen. «Der Arbeitstitel ist ID.1 und das Fahrzeug ist für 2027 geplant», sagte Markenchef Thomas Schäfer am Donnerstag bei der Jahrespressekonferenz. Mit dem Kleinwagen wolle man das Elektro-Portfolio nach unten abrunden und «bezahlbare Elektromobilität für alle» anbieten, so Schäfer.

Den Termin habe man daher bewusst ein Jahr nach dem für 2026 geplanten ID.2all für unter 25'000 Euro gelegt.

Zur Story