Matthias Stenke arbeitet im Hochschulrechenzentrum als Sicherheitsbeauftrager und Abteilungsleiter. FOTOS: SCHEPP
+
Matthias Stenke arbeitet im Hochschulrechenzentrum als Sicherheitsbeauftrager und Abteilungsleiter. FOTOS: SCHEPP

Cyber-Attacke

Uni Gießen: "Hacker-Angriff war Fluch und Segen"

  • Karen Werner
    vonKaren Werner
    schließen

Nicht nur vom "realen" Coronavirus wird die Uni Gießen ausgebremst. Auch ein Hacker-Viris hat der Hochschule zugesetzt. Ein Interview zu dem Angriff und seinen weitreichenden Folgen.

Monatelang war der Betrieb in der Gießener Justus-Liebig-Universität beeinträchtigt nach dem Hacker-Angriff Ende 2019. Noch heute laufen nicht alle Systeme. Zwar gelang es mit dem umgehenden Herunterfahren, einen Datenabfluss zu verhindern. Dennoch beziffert die JLU allein die unmittelbaren Kosten auf 1,7 Millionen Euro. Warum sie letztlich glimpflich davonkam, erläutern im GAZ-Interview Matthias Stenke, Sicherheitsbeauftragter und Abteilungsleiter im Hochschulrechenzentrum, und Uni-Vizepräsident Prof. Michael Lierz.

Herr Stenke, als wir im Juli von einem erneuten kleineren Hacker-Angriff berichtet haben, hat die Uni erklärt, so etwas passiere täglich. Wie fühlt es sich an, dauernd "böse" Angreifer von außen abwehren zu müssen?

Matthias Stenke: Man muss ständig auf dem Sprung sein. Es können sich jeden Tag neue Sicherheitslücken auftun, gerade bei unserer großen Zahl von Nutzern und den öffentlich bekannten E-Mail-Adressen. Da muss man sofort richtig reagieren. Uns ist immer bewusst: Da hängt die ganze Uni dran. Das bedeutet Verantwortung.

Muss man sich gerade als Neuling stählen und lernen, Angriffe nicht persönlich zu nehmen?

Stenke: Die Angreifer verfolgen ja Interessen, sie meinen das sicherlich nicht persönlich. Aber ja, ein bisschen gleicht das Gefühl dem, wenn jemand ins Haus einbricht.

Wie erinnern Sie sich an jenen Sonntag, den 8. Dezember? Hat der Entdecker der Attacke sozusagen die Hollywood-Spannungsmusik im Hinterkopf gehört?

Stenke: Der 8. Dezember ist der Geburtstag meiner Tochter. Wir waren bei den Vorbereitungen fürs Kaffeetrinken, als der Administrator anrief, der Rufbereitschaft hatte. Am Vormittag gab es eine Meldung aus der Veterinärmedizin, dass ein Server nicht funktioniert. Der Betreuer hat Merkwürdigkeiten festgestellt. Dann stellte sich heraus, dass mehrere Systeme von Ausfällen betroffen sind. Bei der Analyse mit Kollegen wurde schnell klar, dass es ein groß angelegter Angriff sein könnte. Wenn ich eine Filmmusik dazu wählen würde, dann keine mit sich langsam aufbauender Spannung, sondern vielleicht die aus Hitchcocks "Psycho" beim Mord unter der Dusche in dem Moment, wo die Tragweite deutlich wurde. Wir haben dann in Rücksprache mit dem Präsidium die weiteren Schritte eingeleitet.

Michael Lierz: Ich war in Hüttenberg beim Handballspiel meines Sohnes. Es war gerade vorbei, als der Anruf kam. Dann ging alles relativ schnell.

Ist es üblich, dass im Hochschulrechenzentrum immer - auch an einem Adventssonntag - jemand im Dienst ist?

Stenke: Ja, für bestimmte Bereiche gibt es eine Rufbereitschaft. Und unsere Kolleginnen und Kollegen sind so engagiert, dass sie auch einmal außerhalb der Dienstzeit ein Auge auf die Systeme werfen. In der Veterinärmedizin und auch in der Unibibliothek ist auch am Wochenende Betrieb. Dadurch sind die Unregelmäßigkeiten gleich aufgefallen.

Hätte "JLUoffline" ganz anders verlaufen können, wenn irgendjemand anders reagiert hätte?

Stenke: Das kann ich klar mit Ja beantworten. Wenn die Angreifer mehr Zeit gehabt hätten, hätte der Schaden größer sein können.

Lierz: Wir haben eine vertrauensvolle Zusammenarbeit. Das Präsidium weiß, dass im HRZ Fachleute sitzen. Wir haben uns noch an dem Sonntagabend das erste Mal getroffen und beschlossen, uns die Systeme vor dem Wiederhochfahren erst einmal in Ruhe anzuschauen. Zunächst dachten wir an ein paar Tage. Aber allein das Scannen der Daten bei so einer großen Universität hat Wochen gedauert. Wir hätten schneller wieder hochfahren können, aber immer mit einem Risiko. Wir haben gesagt, wir nehmen die sichere Variante.

Viele Mitarbeiter waren verblüfft darüber, wie stark ihr Alltag vom Computer abhängt.

Lierz: Ja, und sie haben sich in der Folge auch Gedanken gemacht über ihre IT-Sicherheit im privaten Bereich. Uns hat die Krise noch einmal stärker bewusst gemacht, dass das HRZ ein Herzstück der Universität ist.

Finden Ihre Warnungen jetzt mehr Gehör?

Stenke: Es gab eine Sensibilisierung und damit auch eine gewachsene Akzeptanz für Sicherheitsmaßnahmen, die unbequem sind. Bei E-Mails werden zum Beispiel keine veralteten Dateiformate mehr akzeptiert, und sie werden im Textformat angezeigt, damit man das Ziel eines Links sofort erkennen kann. Das heißt, dass ansprechend aufgemachte Newsletter nicht mehr ohne Weiteres gut lesbar sind. Bei Abwägungen zwischen Sicherheit und Komfort entscheiden wir uns im Zweifelsfall für die Sicherheit.

Beraten Sie die Landesregierung, andere Hochschulen oder Behörden?

Stenke: Wir hatten und haben viele Anfragen oder Einladungen zu Veranstaltungen. Ihnen können wir aus Zeitgründen kaum nachkommen. Während der Krisenbewältigung kam dann ja auch Corona.

Lierz: Wir haben ständig für Informationsfluss nach außen gesorgt, insbesondere an die Landesregierung, die auch ihre Schlüsse aus unseren Erfahrungen gezogen hat. Wir waren ja eine der ersten Universitäten, die es erwischt hat, aber danach gab es weitere Angriffe.

Worauf kommt es in Ihren Augen besonders an bei der erfolgreichen Abwehr einer solchen Attacke? Wie wichtig sind "weiche" Faktoren wie Betriebsklima, Kommunikation, Mitdenken ist erwünscht?

Lierz: Grundsätzlich ist der Faktor Mensch bei Hacker-Angriffen der wichtigste. Es ist ja meistens ein Endanwender, der Fehler macht, etwa unbedarft eine E-Mail öffnet. Für die erfolgreiche Abwehr ist die vertrauensvolle Zusammenarbeit sehr wichtig. Das hieß für uns auch, den Fachleuten den Rücken freizuhalten - zum Beispiel bei Presseanfragen - und nicht jeden ihrer Schritte zu hinterfragen.

Herr Stenke, offenbar wissen Ihre Mitarbeiter: Ich kann den Chef anrufen, auch am Sonntag.

Stenke: Auf jeden Fall. Man muss den Leuten das Gefühl geben, dass es okay ist, etwas zu melden, auch wenn dann vielleicht gar nichts war. Das gilt auch für Endanwender. Es ist wichtig, dass sie sich trauen zu melden: Mir ist was Blödes passiert, ich habe auf einen Link geklickt.

Lierz: Gerade in den Anfangszeiten war die Bewältigung der Krise ein großer Kraftakt. Die Bereitschaft der Mitarbeiter dazu ist nicht selbstverständlich. Einige Aktivitäten, die zur Entlastung geplant waren, sind Corona zum Opfer gefallen. Das darf man ja auch nicht vergessen: Wir kamen aus einer Krise, die uns in die analoge Welt katapultiert hat - und mussten von einem Tag auf den anderen umswitchen auf eine fast komplett digitale Welt. Das haben die Mitarbeiter hervorragend bewältigt und tun das immer noch.

Bemerkenswert, dass beides Virus heißt und auch ähnlich wirkt.

Lierz: Ich bin ja Infektiologe in der Tiermedizin. Die Mechanismen sind exakt die gleichen: Wie das Virus sich verbreitet, wie man das durch Isolierung eindämmen kann.

Gab es für das Personal im Hochschulrechenzentrum irgendeine Art von besonderem Dankeschön?

Lierz: Natürlich. Dass man Mitarbeiter, die sich über die Selbstverständlichkeit hinaus einsetzen, belohnt, gebietet schon der Anstand. Bei uns an der JLU ist es üblich, dass man das honoriert im Rahmen der Möglichkeiten, die man im öffentlichen Dienst hat.

Wurde oder wird das Personal im HRZ aufgestockt?

Lierz: Wir hatten schon 2018 den Prozess angestoßen, die über 40 Jahre historisch gewachsene IT anzuschauen, ob wir zukunftskonform aufgestellt sind. Da war Personalaufbau bereits geplant. Das ist durch JLUoffline beschleunigt worden.

Stenke: Vor dem Angriff hatten wir etwa 80 Mitarbeiter, jetzt haben wir ein paar mehr.

Werden Sie und Ihre Kollegen im Bekanntenkreis verstärkt um Rat gebeten?

Stenke: Ja. Man kann nur wiederholen: Sorgt für regelmäßige Aktualisierungen, für Datensicherung, nutzt für jeden Dienst ein eigenes Passwort und speichert es nicht, sondern gebt es jedes Mal neu ein.

Wie groß ist die Gefahr, die insgesamt von Hackern ausgeht?

Stenke: Sie ist groß. Das sieht man jeden Tag an zahlreichen Fällen aus dem öffentlichen Bereich. Firmen halten solche Vorfälle oft unter der Decke. Die Systeme werden immer komplexer. Vor 30 Jahren waren Hacker vielleicht Computerinteressierte, die etwas ausprobieren wollten. Heute stehen handfeste Interessen dahinter. Sie reichen von Kriminellen, die auf Geld aus sind, bis zum staatlichen Auftrag zur Industriespionage oder Wahlbeeinflussung. Und die Täter agieren weltweit. Das ist schwer nachzuverfolgen.

Wissen Sie inzwischen Näheres über die Angreifer auf die JLU?

Lierz: Die Ermittlungen des Landeskriminalamts laufen. Wir haben keine neuen Erkenntnisse.

Es gab ja Mutmaßungen, dass daraus ein Erpressungsversuch hätte werden können.

Lierz: Das ist wahrscheinlich, wenn man sich ähnlich gelagerte Angriffe anschaut.

Wie ist der aktuelle Stand der Reparaturen?

Stenke: Die großen zentralen Systeme laufen ja schon seit längerer Zeit wieder. Was noch ansteht, sind vor allem kleinere Systeme in den Fachbereichen. Der Neuaufbau mit verbesserten Sicherheitsvorkehrungen wird uns noch bis Ende des Jahres beschäftigen.

Lierz: Es ist ja nicht nur ein Wiederaufbau. Wir haben JLUoffline auch als Chance gesehen für eine Umorganisation die sonst Jahrzehnte dauern würde und im laufenden Betrieb sehr schwierig wäre.

Aber Sie würden nicht sagen, Sie sind dankbar für den Angriff - oder doch?

Lierz: Er war Fluch und Segen. Aber unterm Strich wünscht man das niemandem. Wenn man sieht, was jetzt in Nordrhein-Westfalen passiert ist, da hing ein Menschenleben dran... (Anmerkung der Redaktion: Wegen einer Cyber-Attacke konnte das Uniklinikum Düsseldorf eine Notfallpatientin nicht aufnehmen, die kurz nach dem Transport in ein anderes Krankenhaus starb.) Wir sind verhältnismäßig glimpflich davongekommen.

Das könnte Sie auch interessieren

Kommentare