Es hat mal wieder zwei Hochschulen in Punkto Sicherheitsvorfälle betroffen. Die University of Manchester ist Opfer eines Hacks geworden, bei dem wohl auch Daten abgeflossen sind. Und auch die Hochschule Kaiserslautern ist Opfer eines Hackerangriffs geworden, so dass die IT-Infrastruktur down ist.
Anzeige
Cyberangriff auf Hochschule Kaiserslautern
Ein Blog-Leser hat mich bereits Freitag Nachmittag in einer privaten Nachricht auf Facebook über den Vorfall informiert – ich komme erst jetzt dazu, das aufzubereiten. Deren Webseite ist derzeit nicht wirklich erreichbar (es wird keine SSL-Verschlüsselung mehr unterstützt – also sind auch diese Server betroffen).
Der SWR 3 berichtet zum 9. Juni 2023 im Beitrag Hacker greifen Hochschule Kaiserslautern an mehr Details. Dort wird von einer Notseite (ist nur per http erreichbar) der Hochschule berichtet, auf der sich die Informationen befinden. Hier der betreffende Text:
Liebe Studierende, liebe Mitarbeitende der Hochschule Kaiserslautern,
leider ist unsere IT-Infrastruktur von einem Hackerangriff betroffen. Daher steht die gesamte IT-Infrastruktur der Hochschule derzeit leider nicht zur Verfügung. Dies beinhaltet auch die E-Mail-Kommunikation sowie alle Zugänge, für die Sie Ihr Hochschullogin benötigen (auch von zu Hause aus).
Daher bleiben die zentralen Serviceeinrichtungen, wie die Bibliothek, die Rechnerpools, das Studierendensekretariat u.ä. vorerst geschlossen.
Bitte haben Sie Verständnis, dass wir zum jetzigen Zeitpunkt keine weiteren Informationen veröffentlichen können!
Wir werden Sie auf dieser Seite auf dem Laufenden halten.
Mit freundlichen Grüßen,
Ihre Hochschulleitung
Die Hochschule scheint ihre gesamte IT heruntergefahren zu haben, denn die reguläre Internetseite und das E-Mail-Programm sind auch offline. Laut Hans-Joachim Schmidt, Präsident der Hochschule Kaiserslautern, ist das Ausmaß des Cyber-Vorfalls derzeit noch unklar. Er wird mit folgenden Worten zitiert: "Es hat sich am Donnerstag über den Tag verdichtet, dass es ein Angriff ist." Gegen 15:00 Uhr findet sich zum 9.6.2023 der Hinweis:
Da es sich um einen Verschlüsselungsangriff handelt, sind auch die PCs am Arbeitsplatz der Mitarbeitenden möglicherweise betroffen. Deshalb gilt für alle Mitarbeitenden: Die Rechner bitte nicht mehr einschalten, bis es hierzu neue Anweisungen gibt. Wir werden Sie über das weitere Vorgehen schnellstmöglich informieren.
Es ist also ein klassischer Ransomware-Angriff mit Verschlüsselung der Server. Die Hochschule schreibt, dass man wichtige Partner und Organisationen über die Attacke informiert habe. Dazu gehören unter anderem das Landeskriminalamt, das Ministerium für Wissenschaft und Gesundheit, unser Datenschutzbeauftragter sowie der Landesdatenschutzbeauftragte. Die Hochschule ist im Austausch mit dem BSI, dem DFNcert, dem VCRP, dem ZIT sowie den Hochschulrechenzentren in Mainz und Kaiserslautern.
Anzeige
Aktuell arbeitet ein Krisenstab dieses Sicherheitsproblem ab und hat auch das Landeskriminalamt unterrichtet. Aktuell ist unklar, wie hoch der Schaden ist. "Wir verschaffen uns gerade ein genaues Bild von dem Schaden. Das ist eine relativ komplexe Fragestellung", so Hans-Joachim Schmidt. Die Vorlesungen auf dem Campus laufen weiter – aber die IT-Dienste und die Verwaltung sind beeinträchtigt. Das Gleiche gilt für Online-Vorlesungen.
Cyberangriff auf University of Manchester
Auch die Universität der britischen Stadt Manchester ist Opfer eines Cyberangriffs geworden, wie Bleeping Computer hier berichtet. Die Universität Manchester warnt in einer Meldung ihre Mitarbeiter und Studenten, dass sie Opfer eines Cyberangriffs geworden ist, bei dem wahrscheinlich Daten aus dem Netzwerk der Universität gestohlen wurden.
Cyber incident statement
Regrettably, I have to share with you the news that the University is the victim of a cyber incident. It has been confirmed that some of our systems have been accessed by an unauthorised party and data have likely been copied. Our in-house experts and established expert external support are working around the clock to resolve this incident. We are working to understand what data have been accessed and will update you as more information becomes available.
As you would expect, we are also working with the relevant authorities, including the Information Commissioner's Office, the National Cyber Security Centre (NCSC), the National Crime Agency and other regulatory bodies.
We know this will cause concern to members of our community and we are very sorry for this.
Our priority is to resolve this issue and provide information to those affected as soon as we are able to, and we are focusing all available resources.
You should be vigilant to any suspicious phishing emails. The NCSC has guidance for individuals advising on how to protect against the impacts of data breaches: Data breaches: guidance for individuals and families – NCSC.GOV.UK. There is also guidance on phishing. University IT Services have also published advice.
We have published a set of Frequently Asked Questions about the incident, and will continue to provide updates when we have further information to share.
Patrick Hackett
Registrar, Secretary and Chief Operating Officer
Anzeige
Und wieder wird es viele Digital Natives-Studierende geben, die all ihre Dokumente nur dezentral bei der Uni abgelegt haben. Und da Sprechen wir nicht von den reinen Forschungsdaten, sondern von den abgeleiteten Masterarbeiten, Doktorarbeiten, Papers etc, die bestenfalls in einer uralten Version noch irgendwo in der privaten Mail auffindbar sind… :( Backup ist einfach uncool und kostet nur Zeit!1!!11
Ein sorgloses Unileben ohne Backup kannten frühere Studierendengenerationen auch schon, bevor es mit Cloud Computing losging und Digital Natives geboren waren. Am Schwarzen Brett von Universitäts- oder Institutsbibliotheken flatterten in schöner Regelmäßigkeit Zettel mit Hilferufen und Auslobung einer Belohnung bei Rückgabe, weil das geliebte Notebook mit der ganzen Abschlussarbeit drauf gestohlen oder sonst wie verlorengegangen und leider keine Sicherungskopie vorhanden war … Man fragte sich damals schon: Wie kann man nur so schluderig sein? Sieht man mal Diebstahl ab, digitale Speichermedien können auch aus technischen Gründen ausfallen und alle gespeicherten Inhalte sind futsch.
Ich warte auf den Tag, an dem solche Vorkommnisse die spontane Neuausschreibung der Stellen der bis dahin Verantwortlichen in der IT zur Folge hat. Die Verantwortlichen, die an beiden Unis diesen Vorfall zu verantworten haben, gehören entlassen.
Ransomware, also hat irgendjemand wieder mal auf einen Link in einer Email geklickt oder einen Email-Anhang geöffnet.
Zu 90% erfolgen Ransomware-Angriffe ja genau darüber.
Also mangelnde Schulung der Leute im Umgang mit Email und auch monagelhafte Mailserverkonfiguration.
Der Mailserver hat solche Emails herauszufiltern und nicht zuzustellen.
Die ITler zu feuern nützt übrigens wenig, denn danach wären die Stellen wegen des akuten Fachkräftemangels unbesetzt oder irgendeine studentische Aushilfskraft macht das kommisarisch, womit auch nichts gewonnen wäre.
>Also mangelnde Schulung der Leute im Umgang
>mit Email und auch monagelhafte
>Mailserverkonfiguration.
Nur letzteres! Täuschend echt gemachte Mails, persönlicher Bezug, Anschrift mit Namen… wie soll man sicher Mails, die es ja leider auch gibt, immer ausfiltern? Wenn *das* der Zugang bei obengenannten Problem war, dann liegt es letztendlich bei – sorry – Windows, das die Ausführung von Dateien per se erst mal erlaubt, bis man es abschaltet hat. Der Fisch stinkt von Kopfe her!
Die Ausführung von Ransamware lässt sich über Windows-Bordmittel (z. B. AppLocker, Software Restriction Policies) einschränken.
Ein großes Problem von Phishing-Mails ist aber das Abgreifen von Benutzerdaten (Name und Kennwort).
Was den Umgang mit E-Mails angeht werden bei uns alle Mitarbeiter*innen jährlich über eine Schulung sensibilisiert (sollte eigentlich Standard sein).
Zeitgleich werden über einen externe Dienstleister gefakte E-Mails über eine real existierende E-Mail-Adresse versendet.
Inhalt der E-Mail ist die Weiterleitung auf eine Webseite mit der Aufforderung die Benutzerdaten einzugeben.
Die gefakten Webseiten lassen sich dann kaum von realen Webseiten unterscheiden.
z.B.:
ersetze in den gefakten Links
ein großes O durch eine Null (O 0)
ein kleines l durch ein großes I (l I)
ein m durch ein n
usw.
Also kaum zu erkennen und nicht trivial solche Inhalte bzw. E-Mails herauszufiltern.