Die Fachleute haben uns einen roten Faden an die Hand gegeben, um die Kontrolle wieder zu erlangen. Gleichzeitig hat uns die Analyse geholfen, das Vorgehen der Tätergruppe zu verstehen.
Als ein Cyberangriff die Hochschule Ruhr West traf, beauftragte die IT-Leitung das Incident-Response-Team von G DATA Advanced Analytics. Im Interview erklärt Thomas Bieker, CIO der Hochschule Ruhr West, wie die Bochumer Fachleute die IT-Systeme bereinigten und beim Wiederaufbau der Infrastruktur mithalfen.
Wann ist Ihnen aufgefallen, dass Cyberkriminelle das Netz der Hochschule infiltriert haben?
Thomas Bieker: Uns erwischte es im Februar 2023. Ein Mitarbeitender bemerkte bei Routinearbeiten ungewöhnliche Aktivitäten im System. Daraufhin entschieden wir, das Netzwerk vom Internet zu trennen, um den Vorfall zu untersuchen. Bei einer genauen Prüfung bestätigte sich der Anfangsverdacht einer Cyberattacke mit Ransomware. Glücklicherweise konnten wir den Angriff frühzeitig stoppen und damit eine großflächige Ausbreitung sowie eine Verschlüsselung der Systeme verhindern.
Wie haben Sie reagiert?
Thomas Bieker: Wir haben umgehend die Ermittlungsbehörden informiert und das Incident-Response-Team von G DATA Advanced Analytics mit der Vorfallbewältigung und der forensischen Analyse des Tathergangs beauftragt. Gleichzeitig sollte das Expertenteam die Schadsoftware untersuchen, um eine Re-Infektion beim Wiederaufbau zu verhindern. Bei der Wahl des Partners sind wir dem Rat der Ermittlungsbehörden gefolgt, einen vom BSI-zertifizierten Dienstleister zu beauftragen.
Uns war von Anfang an klar, dass wir externe Hilfe benötigen. Für diesen IT-Notfall brauchte es das entsprechende Know-how. Und das haben nur sehr wenige IT-Fachleute. Mit der Trennung vom Netz war die Hochschule nicht mehr arbeitsfähig. Da aber keine Daten verschlüsselt worden waren, konnten wir schnell mit dem Neuaufbau beginnen. Die Kriminellen hatten die Verschlüsselung noch nicht gestartet, weil sie trotz intensiver Suche keinen Zugriff auf die Back-up-Server erlangen konnten.
Welche Maßnahmen haben sie umgesetzt, um wieder arbeitsfähig zu werden?
Thomas Bieker: Im Krisenstab haben wir einen Aktionsplan erarbeitet, um die Systeme nach und nach neu aufzusetzen. Da der Angriff die Hochschule zum Beginn der Prüfungsphase traf, galt für diese Systeme die höchste Priorität. Parallel entschieden wir, die Prüfungen um eine Woche zu verschieben, um mehr Zeit für die anstehenden Arbeiten zu haben. Außerdem mussten zu Beginn alle Angestellten neue Passwörter setzen. Das war mit sehr viel organisatorischem Aufwand verbunden.
Parallel dazu untersuchten die Incident-Response-Fachleute von G DATA Advanced Analytics die infizierten Systeme. Sie suchten gezielt nach Spuren, die einen Rückschluss darauf zuließen, wie die Angreifergruppe in die Systeme eingedrungen waren. Dabei setzen sie auch spezielle, aus eigener Entwicklung stammende Werkzeuge zur Auswertung der Logdaten ein. Das Team suchte gezielt nach Indicators of Compromise (IoCs), also Hinweisen, Daten und Konten, die Aufschluss über die Kompromittierung des Netzwerks geben konnten. Da die Logdaten nicht sehr weit in die Vergangenheit zurückreichten, ließ sich nicht der gesamte Angriffsweg rekonstruieren. Allerdings war erkennbar, dass der finale Angriff auf die Systeme durch ein kompromittiertes VPN-Konto eines Studierenden initiiert wurde. Die Analyse zeigte auch, dass die Tätergruppe mit einer installierten Hintertür (Backdoor) versucht hat, sich einen dauerhaften Systemzugriff zu sichern.
In der Anfangsphase halfen die Fachleute aus Bochum dabei, einen stabilen Notbetrieb zu etablieren. Hierbei setzte das Team ein Werkzeug für Live-Forensik ein, um mit individuellen Suchkriterien netzwerkweite angeschlossene Systeme auf eine Kompromittierung zu überprüfen. So stellten die Expertinnen und Experten sicher, dass die Angreifer vollständig aus dem Netz verschwunden waren und keine unerkannte Schadsoftware den Wiederaufbau behinderte.
Setzten Sie beim Wiederaufbau auch Maßnahmen zur Verbesserung der IT-Sicherheit um?
Thomas Bieker: Für den Wiederaufbau der Systeme gaben die Fachleute von G DATA konkrete Hinweise zur unmittelbaren Verbesserung des IT-Sicherheitsniveaus. Dazu zählte etwa der gezielte Einsatz von Multi-Faktor-Authentifizierung für Mitarbeitende und Studierende, der Ausbau eines zentralen Log-Management-Systems, die strikte Trennung von administrativen und nicht-administrativen Konten sowie eine stärkere Netzwerk-Segmentierung.
Auf Basis dieser Empfehlungen arbeiten wir seitdem daran, das Netzwerk für künftige Angriffsversuche besser abzusichern. Unser Ziel ist es, Sicherheitsstandards zu etablieren, die den Vorgaben des BSI entsprechen. So erhalten beispielsweise Dozierende nur noch temporär administrative Rechte für ihren Bereich, um etwa neue Software oder Updates zu installieren. Auch der externe Zugang zu Messgeräten in Laboren ist stärker reguliert. Diese neuen Vorgaben erhöhen natürlich den administrativen Aufwand deutlich. Aber gleichzeitig führt kein Weg daran vorbei, wenn wir unsere komplexe und heterogene Infrastruktur vor künftigen Angriffsversuchen schützen wollen. Denn wir sind jeden Tag Ziel von Cyberattacken und konnten bis jetzt jeden weiteren Angriffsversuch abwehren.
Für den Wiederaufbau der Systeme gaben die Fachleute von G DATA konkrete Hinweise zur unmittelbaren Verbesserung des IT-Sicherheitsniveaus. Dazu zählte etwa der gezielte Einsatz von Multi-Faktor-Authentifizierung für Mitarbeitende und Studierende, der Ausbau eines zentralen Log-Management-Systems, die strikte Trennung von administrativen und nicht-administrativen Konten sowie eine stärkere Netzwerk-Segmentierung.
Warum greifen Cyberkriminelle Hochschulen an?
Thomas Bieker: Hochschulen stehen für einen freien Zugang, eine hohe Durchlässigkeit und eine große Offenheit für Studierende, Bürger, Dozierende und Forschende. Gleichzeitig wollen wir einen hohen Digitalisierungsgrad etwa beim Service für Mitarbeitende, Forschende, Lehrende und Studierende gewährleisten. Im Rahmen der praxisorientierten Lehre heißt das mittlerweile auch, dass Studierende oder Forschende nicht nur irgendwo zu einer Maschine gehen und bohren, fräsen oder schrauben. Sie können teilweise von zu Hause aus von ihrem Rechner Geräte zum Bohren, Fräsen und Schrauben bringen und kleine Roboter Materialien einlegen lassen. Wir haben also virtuelle Zugänge zu Laboren und anderen Arbeitsumgebungen. Und das ist natürlich eine sehr, sehr offene Sache. Hinzu kommt eine extrem hohe Komplexität einer Hochschule durch die hohe Verknüpfung der Dienste. Das macht es äußerst schwierig, das ganze System dichtzuhalten.
Wie konnten Sie während des Angriffs mit Mitarbeitenden und Studierenden kommunizieren und Informationen austauschen?
Thomas Bieker: Die Kommunikation mit den Studierenden und der Belegschaft erfolgte in der Anfangsphase über eine extern gehostete Webseite, mit Videobotschaften der Präsidentin sowie über ein paralleles E-Mail-System. Wir haben klar gesagt, wann das Learning Management System wieder verfügbar ist. Zusätzlich haben wir die Bibliothek geöffnet, sodass sich Studierende ganz klassisch Bücher ausleihen konnten. All diese Maßnahmen sorgten für einen ruhigen Umgang mit der Krise.
Wie war die Zusammenarbeit mit G DATA Advanced Analytics?
Thomas Bieker: Das strukturierte Vorgehen von G DATA war sehr hilfreich. Die Fachleute haben uns einen roten Faden an die Hand gegeben, um die Kontrolle wieder zu erlangen. Gleichzeitig hat uns die Analyse geholfen, das Vorgehen der Tätergruppe zu verstehen.
Die Case Study steht hier zum Downbload bereit.
Die Schwerpunkte der Hochschule Ruhr West mit ihren Standorten in Mülheim an der Ruhr und Bottrop liegen in den Bereichen Informatik, Ingenieurwissenschaften, Mathematik, Naturwissenschaften und Betriebswirtschaftslehre. Über 6.500 Studierende werden in 33 Studiengängen ausgebildet – anwendungsbezogen, nachhaltig und vernetzt. So profitieren Studierende von der Forschungsstärke und Praxisnähe im Studium.
Stefan Karpenstein
Public Relations Manager
