Incident Response Team analysiert Tathergang und berät Hochschule bei Verbesserung der IT-Sicherheit
Mitten im ersten Corona-Lockdown legte ein Cyberangriff die Verwaltung der Ruhr-Universität Bochum (RUB) lahm. Mit Unterstützung von G DATA Advanced Analytics war die Universität schnell wieder handlungsfähig. Die Fachleute für Incident Response des Bochumer IT-Sicherheitsdienstleisters untersuchten die betroffenen Systeme, rekonstruierten den Tathergang und erstellten ein Konzept zum Wiederaufbau der IT.
Ein Cyberangriff im Frühjahr 2020 auf die Ruhr-Universität Bochum hat gezeigt: Eine einzige Schwachstelle reicht Cyberkriminellen aus, um Netzwerke von Unternehmen oder Organisationen zu infiltrieren. Dank aufmerksamer Mitarbeitenden und tatkräftiger Unterstützung des Incident Response Teams von G DATA Advanced Analytics konnte die Hochschule das Vorgehen der Angreifer analysieren und den Wiederanlauf der Systeme initiieren. Am frühen Morgen des 7. Mai 2020 nahm das Unheil seinen Lauf. Mitarbeitende der zentralen IT an der RUB bemerkten, dass verschiedene Dienste, insbesondere SharePoint und Exchange, nicht mehr richtig funktionierten und Server teilweise verschlüsselt waren. Die Verantwortlichen riefen den IT-Notfall aus. Die Verwaltung der RUB war damit arbeitsunfähig. Betroffen waren mehr als 42.000 Studierende und über 6.000 hauptamtliche Beschäftigte an 21 Fakultäten.
Den Tätern auf der SpurInnerhalb kürzester Zeit nahm das Incident Response Team die Arbeit auf und analysierte die kompromittierten Systeme. Ausgehend von wichtigen Systemen wie beispielsweise den Domänencontrollern wurden die Spuren der Angreifer soweit möglich und nötig, Schritt für Schritt nachverfolgt. Die Analyse zeigte, dass der initiale Zugang in das Netz der RUB Anfang Mai über den Remotedesktopdienst eines Arbeitsplatzrechners erfolgte. Durch das simple Ausprobieren von Passwörtern, einem sogenannten Brute-Force-Angriff, erlangten die Angreifer die Zugangsdaten eines Benutzerkontos und damit Zugriff auf das System. Die Angreifer profitierten davon, dass das betroffene Konto administrative Rechte besaß und konnten sich so Informationen zu weiteren Benutzerkonten beschaffen.
„Den Angreifern hat im Frühjahr 2020 die Corona-Pandemie in die Hände gespielt“, sagt Jasper Bongertz, Head of Incident Response bei G DATA Advanced Analytics.
„Denn zu diesem Zeitpunkt hatten viele Unternehmen ihre Mitarbeitenden schnellstmöglich ins Homeoffice beordert. Bei diesem Wechsel standen insbesondere die Stabilität und Funktionalität an oberster Stelle. Dass sich bei einem derartigen Kraftakt auch manchmal unbeabsichtigte Sicherheitslücken auftun, ist leider deswegen problematisch, weil Cyberkriminelle diese laufend automatisiert suchen und ausnutzen.“Wiederaufbau nach PlanAuf Basis der Analyse des Incident Response Teams von G DATA Advanced Analytics konnten die IT-Mitarbeitenden der RUB mit den Aufräumarbeiten beginnen. Ein großer Teil der Arbeiten musste dabei aufgrund des ersten Corona-Lockdowns remote erfolgen. Für den Wiederaufbau hatten die Beteiligten ein Konzept erstellt und eine Reihenfolge für den Wiederanlauf der Systeme festgelegt, welche die Mitarbeitenden der RUB nun nacheinander abarbeiteten. Das Wiederherstellen der verschlüsselten Server gelang zügig. Dabei profitierte die Universität von einer guten Back-up-Strategie, bei der die Back-ups physisch getrennt vom Netzwerk aufbewahrt werden. Mitte Juni 2020 waren alle essenziellen Systeme durch die Mitarbeitenden der RUB wieder hergestellt. Zusätzlich zu den Aufräumarbeiten plante der verantwortliche IT-Bereich gemeinsam mit G DATA Advanced Analytics weitere Maßnahmen, um die IT-Sicherheit der RUB zu verbessern.
„Der Cyberangriff hat gezeigt, dass keine Organisation sich in Sicherheit wiegen kann“, sagt Marcus Klein, stellvertretender Direktor IT.SERVICES an der RUB.
„Um uns zukünftig besser auf eine Attacke auf unsere IT-Systeme vorzubereiten, haben wir den aktuellen Status auf den Prüfstand gestellt und Maßnahmen definiert, die unseren IT-Schutz auf ein besseres Niveau heben und uns gleichzeitig in die Lage versetzen, angemessen zu reagieren, falls Cyberkriminelle in unsere Systeme eindringen.“Die Case Study steht
hier zum Download bereit.