Wie gravierend ist der «Cyberangriff» auf die Universität Zürich (UZH) wirklich? Die bisher vorliegenden Informationen zeichnen ein unvollständiges Bild, so wie es häufig der Fall ist, wenn sich Ransomware-Attacken ereignen.
Aber ist es wirklich eine Aktion russischer Hacker? Die «NZZ» sprach noch am Donnerstag, als die Universität die Attacke publik gemacht hatte, mit einem Medienbeauftragten – und dessen Antworten warfen neue Fragen auf.
Die Medienstelle der Uni wollte am Freitag auf Anfrage von watson noch keine detaillierten Auskünfte erteilen. Die entsprechende Begründung lässt aufhorchen:
watson hat den renommierten IT-Sicherheitsexperten Marc Ruef um eine kritische Einschätzung gebeten und erklärt, warum der Fall ziemlich ungewöhnlich erscheint.
Das wissen wir nicht.
Die Universität selbst stellt in ihrer Mitteilung eine Verbindung zu früheren Ransomware-Attacken her.
Dieses Vorgehen wäre typisch für die gefährlichsten, meist aus Russland operierenden Ransomware-Banden.
Infrage käme etwa die Gruppierung Vice Society. Sie wurde in der Schweiz durch den Angriff auf die Gemeinde Rolle VD und das Leaken schützenswerter Daten bekannt. Und sie führt von allen Banden am meisten Attacken gegen Bildungsinstitutionen, seien dies Volksschulen oder Universitäten.
Gegenüber der NZZ sprach ein Medienbeauftragter der Uni von Angriffen, die sich «seit einigen Tagen» verschärft hätten. Und weiter: Die Hacker hätten auf verschiedenste Arten das Netzwerk der Universität auf die Probe gestellt.
Hier reagiert Sicherheitsexperte Ruef verwundert:
Zu ergänzen ist, dass die äusserst aktive Ransomware-Bande Lockbit letztes Jahr durchblicken liess, dass sie in Zukunft auch DDoS-Attacken einsetzen könnte, um zahlungsunwillige Opfer weiter einzuschüchtern. Das US-Medium Bleeping Computer konstatierte, dass die Kriminellen damit auf dreifache Erpressung («Triple Extortion») setzen würden.
Zuvor hatte schon das FBI davor gewarnt, dass Kriminelle Server-Überlastungsangriffe als Druckmittel einsetzen können, um Opfer zu Verhandlungen zu zwingen. Und kleinere, gezielte DDoS-Angriffe könnten als Tarnung für das Installieren von Schadsoftware (Infiltration) oder das heimliche Stehlen von Daten (Exfiltration) gestartet werden.
Auf der UZH-Website prangte nach dem Publikmachen des Cyberangriffs am Donnerstag eine Aufforderung, die aufhorchen lässt. Die IT-Verantwortlichen riefen zur Änderung aller Passwörter für die Uni-Systeme auf.
Beim «Identity Management Service» handelt es sich um die zentrale Verwaltung aller Personen und Accounts durch den universitären Informatik-Dienstleistungsbetrieb.
Alle Mitarbeitenden und Studierenden wurden auch per E-Mail aufgefordert, ihre Passwörter zu ändern.
Der Schweizer IT-Sicherheitsexperte und ehemalige Hacker Marc Ruef beurteilt diesen Schritt kritisch:
Der Sicherheitsexperte warnt:
Update: Die Einschätzung von Ruef scheint sich zu bestätigen. Am frühen Freitagabend machte der «Beobachter» publik, dass Login-Daten der Uni in einem Hacker-Forum zum Kauf angeboten wurden (dazu weiter unten mehr).
Auch das Log-in zum Virtual Private Network (VPN) der Universität haben die IT-Spezialisten neu aufgesetzt, wie die NZZ schreibt. «So konnten wir neue Eintrittsmöglichkeiten unterbinden», wird der Medienbeauftragte zitiert.
Zur Erklärung: Mit einem VPN-Dienst wird eine sichere Verbindung erstellt, die zum Beispiel vom privaten PC des Professors übers Internet zum Uni-Netzwerk führt. Alle Daten, die durch diesen virtuellen «Tunnel» fliessen, sind verschlüsselt.
Sicherheitsexperte Marc Ruef sagt:
Im akademischen Umfeld werde Offenheit und Freiheit gross geschrieben, kommentiert Ruef. Dies kollidiere «leider mit den Bedürfnissen von Cybersecurity». Viele Institutionen vernachlässigten deshalb bewusst das Thema.
Ob dies bei der Universität Zürich der Fall war, ist nicht bekannt. Die bisherigen Informationen und die anhaltenden Cyberattacken liessen noch keinen Schluss zu.
Laut Uni-Mitteilung wurden die Abwehr-Massnahmen umgehend verstärkt und man begegne den Angriffen «mit internen Mitteln sowie externer Unterstützung».
Allerdings hielten die Attacken am Freitag an.
Dazu IT-Sicherheitsexperte Ruef:
Auf der Uni-Webseite wurde am Freitagmittag unter dem Betreff «Support» ein weiterer Hinweis aufgeschaltet, der zeigt, dass die IT-Verantwortlichen stark gefordert sind:
Die gute Nachricht: Bis anhin (Stand: Freitagabend, 17 Uhr), scheint die IT-Infrastruktur standzuhalten. Und auch der Webauftritt der Universität ist normal erreichbar.
Laut offizieller Mitteilung der Universität wurden Accounts «kompromittiert» und gewisse IT-Systeme mussten isoliert werden. Es gebe bisher aber keine Indizien für «ein Eindringen in geschütztere Zonen und Systeme».
Am Freitagabend machte der Techjournalist Otto Hostettler vom «Beobachter» eine beunruhigende Entdeckung publik:
Die Zugangsdaten der Universität würden (Stand: 3.2., 18 Uhr) weiterhin im Angebot eines sogenannten Access-Brokers geführt. Also eines kriminellen Zwischenhändlers.
Im «Beobachter»-Bericht wird der Gründer und Inhaber des IT-Securityfirma Cyberfunk, Abdelkader Cornelius, zitiert:
Dies würde erklären, warum die Universität von einem relativ massiven Angriff überrascht wurde.
Dazu liegen noch keine gesicherten Erkenntnisse vor. Aufgrund der vorliegenden Informationen kann keine Entwarnung gegeben werden. Im Gegenteil!
Die Universität sorge sich «um die Sicherheit von Forschungsdaten sowie über einen allfälligen Verlust von Angaben, die den Persönlichkeitsschutz verletzen könnten», heisst es.
Deshalb hätten die Uni-Verantwortlichen auch Experten aus dem Bereich Datenschutz, die Kantonspolizei sowie andere Hochschulen mit einbezogen. Gegenüber srf.ch bestätigte ein Polizeisprecher am Freitag, dass ermittelt werde.
In erhöhter Alarmbereitschaft dürften auch alle anderen Schweizer Hochschulen und weitere Bildungseinrichtungen sein. Wenn es den Angreifern gelingt, Nutzerkonten zu kapern, können sie damit schwer zu erkennende Attacken per E-Mail ausführen, auch «Spear-Phishing» genannt.
