Zwischen Juni 2022 und Juni 2024 hat das G DATA Computer Security Incident Response Team (CSIRT) 14 IT-Sicherheitsvorfälle an deutschen Hochschulen analysiert. In allen Fällen lagen deutliche Hinweise auf Systemkompromittierungen vor, die eine forensische Untersuchung notwendig machten. Sechs Vorfälle hatten domänen- oder netzwerkweite Auswirkungen. Zwei davon führten zu einer vollständigen Ransomware-Verschlüsselung. In den übrigen vier Fällen wurden ähnliche Angriffsmuster erkannt, aber die Verschlüsselung konnte rechtzeitig verhindert werden. Acht Vorfälle beschränkten sich auf einzelne Systeme und blieben lokal begrenzt.
Auf der Konferenz „Sicherheit in vernetzten Systemen“ des Vereins zur Förderung eines Deutschen Forschungsnetzes (DFN) haben Leonard Rapp und Jasper Bongertz im Rahmen eines Fachvortrages einige typische Angriffsmuster beschrieben. Für den Security Blog haben wir die zentralen Aussagen zusammengefasst, stellen beispielhaft das Vorgehen der Angreifer vor und beleuchten deren Folgen für die betroffenen Einrichtungen. Abschließend geben wir praxisnahe Empfehlungen zur Prävention und Vorbereitung auf Sicherheitsvorfälle und vermitteln IT-Verantwortlichen das notwendige Wissen, um ihre Einrichtungen gezielt zu schützen und im Ernstfall handlungsfähig zu bleiben.
Fallstudien
Die folgenden drei Fallbeispiele veranschaulichen typische Angriffsmuster und Herausforderungen beim Umgang mit IT-Sicherheitsvorfällen an Hochschulen. Aus Gründen der Vertraulichkeit wurden alle Angaben anonymisiert und verallgemeinert.
Fallstudie A: Sechs Hintertüren in einem Hochschulnetz
Angriffsverlauf: Die Angreifer nutzten mehrere kompromittierte Zugangsdaten von Studierenden und Mitarbeitenden, um sich per VPN und VDI-Systeme in die IT-Infrastruktur einzuloggen. Anschließend übernahmen sie mithilfe lokaler Administrator-Konten weitere Systeme und extrahierten aus dem lokalen Sicherheitsautorisierungs-Subsystem-Dienst (LSASS) Passwort-Hashes– darunter ein Konto mit domänenadministrativen Rechten. Damit verschafften sie sich Zugriff auf die Domänencontroller und kopierten die Active-Directory-Datenbank. Im Verlauf des Angriffs richteten sie sechs verschiedene Hintertüren ein: darunter TOR-Dienste mit SSH-/SMB-Zugriff, Fernzugriffssoftware wie Splashtop und AnyDesk sowie Cobalt Strike Beacons auf Domänencontrollern.
Reaktion und Maßnahmen: Die Hochschule trennte das interne Netz vollständig vom Internet. Externe Dienste wurden blockiert, Interne blieben eingeschränkt nutzbar. Der Lehrbetrieb konnte weitgehend aufrechterhalten werden. Die Kommunikation erfolgte über eine Notfall-Website. Sämtliche Passwörter mussten zurückgesetzt werden – mangels hinterlegter E-Mail-Adressen wurden Briefe mit neuen Passwörtern per Post verschickt. Die Authentifizierung zum Zurücksetzten des Passworts erfolgte zusätzlich über das Geburtsdatum. Probleme wie veraltete Adressen und fehlerhafte Geburtsdaten konnten die Verantwortlichen durch eine Hotline und Vor-Ort-Support abfedern. Nach Neuvergabe aller Passwörter, Systemprüfung und -bereinigung konnte die Infrastruktur wieder anlaufen. Der Zugriff auf zentrale Dienste wurde auf VPN mit Zwei-Faktor-Authentifizierung umgestellt.
Fallstudie B: Vollverschlüsselung auf Storage-Ebene
Angriffsverlauf: Die Angreifer nutzten ein Konto mit domänenadministrativen Rechten, meldeten sich per RDP an, extrahierten den LSASS-Speicher und kopierten die Active-Directory-Datenbank. Sie platzierten persistente Malware auf mehreren Systemen. Anschließend nutzten sie MegaSync und ein PowerShell-Skript zur gezielten Datensuche, um sensible Daten auszuleiten.
Zentral war die Kompromittierung der ESXi-Hosts: Nach Aktivierung von SSH-Zugängen änderten die Cyberkriminellen Passwörter und starteten eine speziell angepasste Ransomware. Virtuelle Maschinen wurden verschlüsselt, Wiederherstellungspunkte gelöscht und weitere physische Server nachträglich verschlüsselt.
Reaktion und Maßnahmen: Die Verschlüsselung legte große Teile der Infrastruktur lahm. Eine forensische Analyse war kaum möglich, weil Logdaten nicht ohne Weiteres aus den verschlüsselten virtuellen Maschinen extrahiert werden konnten. Eine Datenwiederherstellung war aufwendig und nur begrenzt möglich. Zudem erschwerte die komplexe IT-Organisationsstruktur die Koordination der Wiederherstellung erheblich.
Fallstudie C: Kompromittierter Linux-Server
Angriffsverlauf: Über ein kompromittiertes VPN-Konto verschafften sich Angreifer Zugang zum System und nutzten einer Sicherheitslücke in einer Anwendung auf einem Linux-Server aus. Sie erweiterten ihre Rechte, legten neue Konten an und editieren existierender Dateien mit weitrechendem Funktionsumfang. Zudem exfiltrierten sie etwa 200 MB LDAP-Daten (Lightweight Directory Access Protocol).
Reaktion und Maßnahmen: Der Angriff wurde durch ein Intrusion-Detection-System erkannt und vom internen IT-Sicherheitsteam schnell unterbunden. Erste Analysen und Maßnahmen waren bereits dokumentiert, was die weitere Bearbeitung durch das G DATA Team erleichterte.
Häufige Angriffsmuster bei Hochschulen
Cyberangriffe auf Hochschulen unterscheiden sich in mehreren Punkten von Attacken auf andere Organisationen. Ursache ist vor allem die heterogene Systemlandschaft, die dezentrale Verwaltung und die hohe Zahl wechselnder Nutzender mit Zugang zur IT-Infrastruktur.
In den meisten Fällen erfolgte der Erstzugang über kompromittierte Zugangsdaten – etwa für VPN oder virtualisierte Desktop-Infrastruktur (VDI). Bei einer großen Anzahl an Nutzerkonten steigt statistisch die Wahrscheinlichkeit für das Vorhandensein schwacher oder mehrfach verwendeter Passwörter. In keinem der untersuchten Fälle war Zwei-Faktor-Authentifizierung aktiv.
Ein weiterer häufiger Einstiegspunkt waren Schwachstellen in öffentlich erreichbaren Systemen. Aufgrund der Vielzahl dezentral betriebener Komponenten gelingt es Hochschulen oft nicht, alles kontinuierlich aktuell zu halten – ein Risiko, das Bedrohungsakteure gezielt ausnutzen.
Das Ziel der Tätergruppen war meist: Zugriff auf sensible Daten, Entfernung oder Verschlüsselung von Back-ups sowie möglichst umfassende Systemverschlüsselung. Dafür benötigen Angreifer domänenadministrative-Rechte und Zugang zu Datei- und Back-up-Servern.
Je flacher die Netzwerksegmentierung und die Absicherung des Active Directory, desto leichter gelingt Angreifern die Ausbreitung. Hochschulen verfügen häufig über historisch gewachsene, komplexe Strukturen. Fakultäten betreiben eigene IT-Systeme, die an zentrale Dienste angebunden sind. Ohne klare Richtlinien setzen sich Fakultäten mitunter durch und erhalten unnötige privilegierte Zugriffsrechte – ein erhebliches Sicherheitsrisiko.
Gelingt ein Einstieg über einen Fachbereich, können Angreifer oft ohne größere Hürden auf weitere Hochschulbereiche zugreifen.
Eine feingranulare Segmentierung ist aufgrund der Vielzahl an Fachbereichen und Anwendungen aufwendig – ein einzelnes kompromittiertes VPN-Konto kann ausreichen, um große Teile des Netzwerks zu erreichen.
