{"id":231542,"date":"2020-05-11T16:49:55","date_gmt":"2020-05-11T14:49:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231542"},"modified":"2020-05-11T16:59:45","modified_gmt":"2020-05-11T14:59:45","slug":"rub-hack-war-ein-ransomware-befall","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/11\/rub-hack-war-ein-ransomware-befall\/","title":{"rendered":"Ruhr-Universität Bochum: Hack war ein Ransomware-Befall"},"content":{"rendered":"

Der 'Hack' der Ruhr-Universit\u00e4t Bochum (RUB) stellte sich am Ende des Tages als ein Befall der IT-Systeme durch Ransomware heraus. Speziell die Windows-Systeme samt Servern (Exchange, Sharepoint) der Verwaltung sind betroffen. Der Lehrbetrieb kann aber weiter gehen.<\/p>\n

<\/p>\n

\"\"Letzte Woche hatte ich im Blog-Beitrag Ruhr-Universit\u00e4t Bochum (RUB) gehackt<\/a> \u00fcber einen Cyber-Angriff auf die Die Ruhr-Universit\u00e4t Bochum (RUB) berichtet. Ein Blog-Leser, der dort studiert, hatte mich \u00fcber den Vorfall unterrichtet. Laut meiner Quelle gab es bereits am sp\u00e4ten Mittwoch Abend, den 5. Mai 2020, Probleme mit der IT.<\/p>\n

\"Telekommunikations-Geräte\"
(Quelle: Pexels Josh Sorenson) <\/p>\n

In ersten Stellungnahmen sprach die RUB noch von technischen St\u00f6rungen, um dann einen Hack einzugestehen. Darauf hin wurden alle Windows-Systeme der Universit\u00e4t herunter gefahren. <\/p>\n

Neue Information der RUB: Es war Ransomware<\/h2>\n

Inzwischen hat die Ruhr-Universit\u00e4t Bochum (RUB) eine weitere Stellungnahme<\/a> zu diesem Vorfall herausgegeben. Dieser Stellungnahme zufolge ist vor allem die Universit\u00e4tsverwaltung durch 'einen Computerangriff mit einer Verschl\u00fcsselungssoftware' betroffen. Im Klartext: Die Windows-Systeme, die in der Universit\u00e4tsverwaltung eingesetzt werden, wurden durch Ransomware lahm gelegt und die Dateien verschl\u00fcsselt. <\/p>\n

Die IT der Ruhr-Universit\u00e4t Bochum (RUB) hat nun Experten der Bochumer IT-Firma G-Data hinzugezogen, um die Sch\u00e4den des externen Computerangriffs mittels der Ransomware weiter zu untersuchen und die System wieder flott zu bekommen. <\/p>\n

Exchange und Sharepoint betroffen<\/h3>\n

In der Stellungnahme zudem zu lesen, dass von diesem Ransomware-Angriff nach bisherigen Erkenntnissen vor allem zentrale Server betroffen sind, die in der RUB-Verwaltung ben\u00f6tigt werden. Dazu geh\u00f6ren beispielsweise Microsoft Exchange Server und Microsoft Sharepoint. Aus diesem Grund ist zurzeit unter anderem der Mailverkehr der RUB-Verwaltung gest\u00f6rt. <\/p>\n

Von der IT der RUB wurden dann alle m\u00f6glicherweise betroffenen Server heruntergefahren und werden derzeit genau analysiert. Vom Ergebnis dieser Analyse wird schlie\u00dflich auch abh\u00e4ngen, ob und wann die Server wieder hochgefahren werden, sprich, wann der normale Arbeitsbetrieb in der RUB-Verwaltung weitergeht. Aufgrund der Einschr\u00e4nkungen durch die Corona-Pandemie spielt sich dieser ohnehin gr\u00f6\u00dftenteils im Homeoffice ab. <\/p>\n

Analyse und Suche der T\u00e4ter<\/h3>\n

Parallel zur Analyse der Server l\u00e4uft die Suche nach m\u00f6glichen T\u00e4tern. Aus ermittlungstaktischen Gr\u00fcnden kann \u00fcber die bisherigen Erkenntnisse nicht berichtet werden. In Beratung ist, ob die Besch\u00e4ftigten auf andere Dienste umgestellt werden k\u00f6nnen, um wieder arbeitsf\u00e4hig zu werden.<\/p>\n

Systeme zur Lehre nicht betroffen<\/h2>\n

Laut Stellungnahme steht inzwischen auch fest, dass die f\u00fcr die digitale Lehre im Sommersemester 2020 notwendige Lernplattform Moodle ebenso wenig wie alle weiteren Instrumente wie beispielsweise Sciebo, Zoom oder RUB-Cast betroffen sind. Diese Systeme laufen \u00fcber nicht von der Attacke betroffene RUB-Server oder auf externen Servern. Die gute Nachricht also lautet: Die digitale Lehre an der RUB kann reibungslos fortgesetzt werden.<\/p>\n

Die Universit\u00e4t hat eine FAQ<\/a> als PDF-Dokument freigegeben, die weitere Antworten enth\u00e4lt. Die Spekulation, dass es eine Infektion mit Emotet war, die die RUB getroffen hat, ist demnach bisher nicht gekl\u00e4rt. Unklar ist auch, ob beim Angriff Login-Daten f\u00fcr Systeme der RUB entwendet wurden. Wer an der RUB studiert oder deren IT-Systeme per Fernzugriff nutzt, sollte in der FAQ Antworten auf offene Fragen finden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Der 'Hack' der Ruhr-Universit\u00e4t Bochum (RUB) stellte sich am Ende des Tages als ein Befall der IT-Systeme durch Ransomware heraus. Speziell die Windows-Systeme samt Servern (Exchange, Sharepoint) der Verwaltung sind betroffen. Der Lehrbetrieb kann aber weiter gehen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,8047,4328],"class_list":["post-231542","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-ruhr-universitaet-bochum","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231542","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231542"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231542\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231542"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231542"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231542"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}