23.03.2023 | 1 Bild

Cyberattacke an der Ruhr-Universität: G DATA unterstützt beim Wiederaufbau der verschlüsselten IT-Systeme

Incident Response Team analysiert Tathergang und berät Hochschule bei Verbesserung der IT-Sicherheit
Logo_RUB © Ruhr Unsiversität Bochum

Zu dieser Meldung gibt es:
Mitten im ersten Corona-Lockdown legte ein Cyberangriff die Verwaltung der Ruhr-Universität Bochum (RUB) lahm. Mit Unterstützung von G DATA Advanced Analytics war die Universität schnell wieder handlungsfähig. Die Fachleute für Incident Response des Bochumer IT-Sicherheitsdienstleisters untersuchten die betroffenen Systeme, rekonstruierten den Tathergang und erstellten ein Konzept zum Wiederaufbau der IT.

Pressetext Pressetext als .txt

Ein Cyberangriff im Frühjahr 2020 auf die Ruhr-Universität Bochum hat gezeigt: Eine einzige Schwachstelle reicht Cyberkriminellen aus, um Netzwerke von Unternehmen oder Organisationen zu infiltrieren. Dank aufmerksamer Mitarbeitenden und tatkräftiger Unterstützung des Incident Response Teams von G DATA Advanced Analytics konnte die Hochschule das Vorgehen der Angreifer analysieren und den Wiederanlauf der Systeme initiieren. Am frühen Morgen des 7. Mai 2020 nahm das Unheil seinen Lauf. Mitarbeitende der zentralen IT an der RUB bemerkten, dass verschiedene Dienste, insbesondere SharePoint und Exchange, nicht mehr richtig funktionierten und Server teilweise verschlüsselt waren. Die Verantwortlichen riefen den IT-Notfall aus. Die Verwaltung der RUB war damit arbeitsunfähig. Betroffen waren mehr als 42.000 Studierende und über 6.000 hauptamtliche Beschäftigte an 21 Fakultäten.

Den Tätern auf der Spur
Innerhalb kürzester Zeit nahm das Incident Response Team die Arbeit auf und analysierte die kompromittierten Systeme. Ausgehend von wichtigen Systemen wie beispielsweise den Domänencontrollern wurden die Spuren der Angreifer soweit möglich und nötig, Schritt für Schritt nachverfolgt. Die Analyse zeigte, dass der initiale Zugang in das Netz der RUB Anfang Mai über den Remotedesktopdienst eines Arbeitsplatzrechners erfolgte. Durch das simple Ausprobieren von Passwörtern, einem sogenannten Brute-Force-Angriff, erlangten die Angreifer die Zugangsdaten eines Benutzerkontos und damit Zugriff auf das System. Die Angreifer profitierten davon, dass das betroffene Konto administrative Rechte besaß und konnten sich so Informationen zu weiteren Benutzerkonten beschaffen.

„Den Angreifern hat im Frühjahr 2020 die Corona-Pandemie in die Hände gespielt“, sagt Jasper Bongertz, Head of Incident Response bei G DATA Advanced Analytics. „Denn zu diesem Zeitpunkt hatten viele Unternehmen ihre Mitarbeitenden schnellstmöglich ins Homeoffice beordert. Bei diesem Wechsel standen insbesondere die Stabilität und Funktionalität an oberster Stelle. Dass sich bei einem derartigen Kraftakt auch manchmal unbeabsichtigte Sicherheitslücken auftun, ist leider deswegen problematisch, weil Cyberkriminelle diese laufend automatisiert suchen und ausnutzen.“

Wiederaufbau nach Plan
Auf Basis der Analyse des Incident Response Teams von G DATA Advanced Analytics konnten die IT-Mitarbeitenden der RUB mit den Aufräumarbeiten beginnen. Ein großer Teil der Arbeiten musste dabei aufgrund des ersten Corona-Lockdowns remote erfolgen. Für den Wiederaufbau hatten die Beteiligten ein Konzept erstellt und eine Reihenfolge für den Wiederanlauf der Systeme festgelegt, welche die Mitarbeitenden der RUB nun nacheinander abarbeiteten. Das Wiederherstellen der verschlüsselten Server gelang zügig. Dabei profitierte die Universität von einer guten Back-up-Strategie, bei der die Back-ups physisch getrennt vom Netzwerk aufbewahrt werden. Mitte Juni 2020 waren alle essenziellen Systeme durch die Mitarbeitenden der RUB wieder hergestellt. Zusätzlich zu den Aufräumarbeiten plante der verantwortliche IT-Bereich gemeinsam mit G DATA Advanced Analytics weitere Maßnahmen, um die IT-Sicherheit der RUB zu verbessern.

„Der Cyberangriff hat gezeigt, dass keine Organisation sich in Sicherheit wiegen kann“, sagt Marcus Klein, stellvertretender Direktor IT.SERVICES an der RUB. „Um uns zukünftig besser auf eine Attacke auf unsere IT-Systeme vorzubereiten, haben wir den aktuellen Status auf den Prüfstand gestellt und Maßnahmen definiert, die unseren IT-Schutz auf ein besseres Niveau heben und uns gleichzeitig in die Lage versetzen, angemessen zu reagieren, falls Cyberkriminelle in unsere Systeme eindringen.“

Die Case Study steht hier zum Download bereit.



G DATA CyberDefense
Mit ganzheitlichen Cyber-Defense-Dienstleistungen macht G DATA CyberDefense verteidigungsfähig gegen Cybercrime. Das renommierte IT-Security-Unternehmen schützt mit KI-Technologien, Endpoint Protection, Security Monitoring und bietet Penetrationstests, Incident Response sowie Awareness-Trainings, um Unternehmen bestmöglich abzusichern.

Die G DATA CyberDefense AG unterstützt seine Kund*innen in jeder Sicherheitslage. Vom Headquarter in Bochum sorgen mehr als 550 Mitarbeitende für die digitale Sicherheit von Unternehmen, kritischen Infrastrukturen wie Krankenhäusern oder Flughäfen sowie Millionen Privatanwender*innen. Mit fast 40 Jahren Expertise in Malwareanalyse hat sich G DATA zu einem Top-Player der Cybersecurity-Welt entwickelt und betreibt Forschung und Softwareentwicklung ausschließlich in Deutschland. Das gilt ebenfalls für Service und Support, der für Kund*innen in aller Welt rund um die Uhr erreichbar ist. Die G DATA Sicherheitslösungen sind in mehr als 90 Ländern erhältlich und wurden von unabhängigen Testinstituten vielfach ausgezeichnet.