DUISBURG/ESSEN. Einige Wochen nach dem Cyberangriff auf die Universität Duisburg-Essen (UDE) hat die dafür verantwortliche kriminelle Gruppierung Daten im Darknet veröffentlicht. Das teilte die Hochschule am Montag mit. Man sei den Forderungen der Angreifer nicht nachgekommen und habe kein Lösegeld gezahlt. Die Universität habe sofort nach Entdeckung des Angriffs Ende November die gesamte IT-Infrastruktur heruntergefahren und vom Netz getrennt. «So gelangte nur ein kleiner Teil der Daten in die Hände der kriminellen Organisation.» Dennoch nehme die Uni deren Veröffentlichung im Darknet sehr ernst.
«Die Universität Duisburg-Essen lässt sich auf ihre digitale Erpressung nicht ein und unterstützt keine Straftaten.» Dazu raten der Hochschule zufolge auch das Bundeskriminalamt und das Bundesamt für Sicherheit der Informationstechnik (BSI). Die Uni betonte zugleich, dass sie dem Datenschutz und dem Schutz persönlicher Daten oberste Priorität einräume. Alle Sicherungsmaßnahmen richteten sich nach den Standards des BSI, die Uni-Experten würden auch von spezialisierten Unternehmen unterstützt. «Dass es den Angreifern dennoch gelang, Daten abzuziehen und Lösegeldforderungen zu stellen, verdeutlicht einmal mehr das hochprofessionelle Vorgehen und die kriminelle Energie der Organisation.»
In Abstimmung mit den Datenschutzbehörden seien alle notwendigen Schritte ergriffen worden, um Auswirkungen der veröffentlichten Daten so gering wie möglich zu halten. Sollten Personen oder Institutionen vom Datendiebstahl betroffen sein, würden diese schnellstmöglich informiert.
Die Hochschule war innerhalb weniger Wochen zweimal Ziel eines Hackerangriffs geworden. Beim ersten Angriff am 27. November war die gesamte IT einschließlich Festnetztelefonie lahmgelegt worden. Erst nach und nach konnten von den Experten einige digitale Dienste wieder hergestellt oder ersetzt werden. Die Lehre mit mehr als 40 000 Studierenden war massiv eingeschränkt. Mitte Dezember hatte die Hochschule dann über eine zweite Attacke informiert, die die neu aufgesetzte Behelfsseite «massiv angegriffen» hatte. Über die sozialen Medien waren Studierende und Lehrpersonal daraufhin aufgefordert worden, ihre Passwörter zu erneuern. News4teachers / mit Material der dpa
dat is Digitalisierung.
„Die Universität habe sofort nach Entdeckung des Angriffs Ende November die gesamte IT-Infrastruktur heruntergefahren und vom Netz getrennt. «So gelangte nur ein kleiner Teil der Daten in die Hände der kriminellen Organisation.“
Wieder einmal werden die Tatbestände unzulässig verkürzt oder gar falsch dargestellt. Ich bin zwar nicht an der UDE, aber das Vorgehen wird so nicht stattgefunden haben.
1 Der Angriff wurde nicht bemerkt und das Netz dann zum Schutz der Nutzerdaten heruntergefahren, sondern viel mehr ist es so, dass der Angriff erst bemerkt wurde als sämtliche Daten für den Erpressungsversuch verschlüsselt wurden.
2 Das führt uns zum nächsten Punkt: Die Angreifer hatten alle Zeit der Welt die unbemerkt Daten vorher abfließen zu lassen und erst dann für die Erpressung zu verschlüsseln.
Die Situation sieht also in Wahrheit vermutlich noch viel schlimmer aus als es dargestellt wird: die Erpresser haben alle Daten, die Uni hat alle Daten endgültig verloren.
3 Beim zweiten Angriff handelt es sich vermutlich, im eigentlichen Sinn, gar nicht um einen zweiten Angriff, sondern die Uni-IT hat versucht alte BackUps einzuspielen, um die Daten vor der Verschlüsselung wieder herzustellen, auf dem allerdings die Schadsoftware schon vorhanden war und so wurde der erste Angriff nur dupliziert. Das würde dann auch zu Punkt 2 passen, wonach bereits vor der Verschlüsselung die Schadsoftware aktiv war und unbemerkt Daten abgeflossen sind.
„Beim ersten Angriff am 27. November war die gesamte IT einschließlich Festnetztelefonie lahmgelegt worden“
Es handelt sich nicht um Festnetztelefone (das kann ich direkt sagen, ohne an der UDE beschäftigt zu sein), sondern um VoIP-Telefone, die, wie in den meisten mil., ziv. Organisationen, über einen Server (mit über 90%-Wahrscheinlichkeit ein CISCO-CallManager) betrieben werden. Anders ausgedrückt: es handelt sich nicht um Festnetztelefone, sondern „Internettelefone“.
„Sollten Personen oder Institutionen vom Datendiebstahl betroffen sein, würden diese schnellstmöglich informiert.“
Diese Aussage soll, so direkt muss ich das sagen, die Opfer in falscher Sicherheit wiegen. Es ist schlicht unmöglich zu sagen, wie viele und welche Daten unbemerkt abgeflossen sind. Meine Vermutung ist, dass alle Daten, die nicht vorher von den Besitzern durch Verschlüsselung geschützt waren, sich nun in den Händen der Erpresser befinden.
Diese Daten werden dann nicht nur per Darknet gehandelt, sondern man kann davon ausgehen, dass die Akteure selbst aus dem Umfeld von fremden Nachrichtendiensten stammen oder die zumindest an diese weitergeben werden.
Danke für die Erklärungen. Die „offiziellen“ Erklärungen sind ja mittlerweile zum K… Da geht es nur noch um Verantwortungsdelegation. Ich erinnere an den Fall des Medienzentrums in Bayern, volles Versagen der zuständigen IT. Und der Lösungvorschläge? Die Schule hätten doch hoffentlich noch eine „eigene“ Datensicherung, alternativ könnten sie ja alle(!) Daten neu eingeben:
https://www.news4teachers.de/2022/10/nach-cyberangriff-philologen-fordern-professionelle-it-administration-fuer-schulen/
Nichts gegen Ihren Berufsstand, der ist wichtig. Es geht mir nur im das übliche Abwälzen von Verantwortung auf die unteren Ebenen der Verwaltung beim Staat, wenn „die da oben“ mal wieder Mist gebaut haben…
Welcher Art sind denn die veröffentlichten Daten?
Dieses Interesse schürt der abstrat, das der Text dann nicht einlöst :/