Hackerangriff auf Uni Gießen: »Ryuk wird oft zur Erpressung verwendet«
Zwölf Tage ist die Justus-Liebig-Universität nach dem Cyber-Angriff offline. Sascha Martens, Experte für Cyber-Sicherheit, spricht über die Architektur einer Attacke und sagt, warum die Uni Glück hatte.
- Seit rund zwei Wochen ist die Uni Gießen offline
- Ein Angriff von Hackern ist inzwischen bestätigt
- Infektion wohl über "Emotet", Ransomware "Ryuk" im Einsatz
- Experte für Cyber-Sicherheit über Hintergründe
Was können Sie aus der Ferne über den Cyber-Angriff auf die Uni sagen?
Wenn man die aktuellen Berichte verfolgt, zeichnet sich ab, dass der Angriff mit der Schadsoftware Emotet erfolgt ist. Dagegen gibt es keine technische Lösung, weil sich Emotet extrem gut tarnt, ständig verändert und schnell weiterverbreitet. Wenn diese Schadsoftware benutzt wurde, sind häufig E-Mails mit infiziertem Anhang Ausgangspunkt. Es ist schwer, sich gegen einen Angriffsmechanismus zu schützen, der auf infizierte Office-Dateien zurückgreift, denn diese Dateien werden tatsächlich überall und von vielen benutzt.
Wie arbeitet Emotet konkret?
Der Virus verbreitet sich mit Hilfe bereits kompromittierter Systeme weiter. Er reproduziert sich und breitet sich auf andere Systeme aus. Der eigentliche Angriff ist aber, dass über das Einfallstor, das Emotet geschaffen hat, weitere Schadsoftware nachgeladen werden kann, mit der Hacker Daten klauen oder zerstören können. Häufig werden auf diese Weise auch Daten verschlüsselt und Unternehmen so erpresst. Emotet ist prädestiniert dafür, sich in Windeseile zu verbreiten, vor allem über E-M ails. Der Virus produziert frei erfundene Mails, die sich für den Empfänger aber sinnvoll anhören, und sucht die Kontakte heraus, die gerade sowieso miteinander kommuniziert haben. Zum Beispiel wird ein Word-Dokument versendet mit der Bitte »Kannst du mal drüber schauen?« Der Bitte kommt man natürlich nach. Und schon ist es passiert. Das macht Emotet so gefährlich.
Hackerangriff auf Uni Gießen: "Wenn es perfekt für den Angreifer läuft, gibt es keinen Weg zurück"
Gibt es weitere prominente Beispiele von Schadsoftware?
Heiß diskutiert werden gerade auch Trick-Bots, die haben zum Beispiel das Ziel, möglichst schnell Benutzername und Passwort abzugreifen. Stellen Sie sich vor, Ihr Computer ist infiziert. An wen richten Sie sich? An die interne IT. Die wiederum hat in Ihrem Netzwerk einen viel mächtigeren Account als Sie. Die IT meldet sich auf Ihrem Computer an und schon hat der Trick-Bot auch die mächtigen Daten der gegenüber Ihnen im Netzwerk privilegierten IT. Damit kann der Hacker alles machen. Daten kopieren und zerstören, Server runterfahren oder - wie vielleicht an der Uni relevant - Messwerte aus langen Studien verändern. Ein großer Hebel, mit dem sich auch Hochschulen erpressen lassen.
Die Generalstaatsanwaltschaft hat am Donnerstag bestätigt, dass es sich bei der Schadsoftware um Ryuk handelt.
Dann hat die Uni Glück gehabt. Bei der Ransomware Ryuk handelt es sich um eine spezielle Schadsoftware, die extrem häufig nach einer Infektion mit Emotet nachgeladen wird. Ryuk macht sich im Netzwerk selbstständig und verschlüsselt alle Daten. Wenn es perfekt für den Angreifer läuft, gibt es keinen Weg zurück. Außer Lösegeld zu zahlen. Ryuk wird sehr oft zur Erpressung verwendet.
Einen Erpresserbrief soll es aber nicht gegeben haben.
Das könnte daran liegen, dass die Hochschule so schnell reagiert hat, dass nicht genug Schadsoftware nachgeladen werden konnte.
War die Hochschule dann einfach nicht gut genug geschützt?
Emotet hat eine gute Lücke gefunden, indem es keine dubiose E-Mail-Adresse als Absender nutzt sondern dem Empfänger bekannte Absender. Wie viele Ihrer Kollegen würden in einer E-Mail von Ihnen das Dokument öffnen? Sehen Sie. Und Office-Dateien sind pauschal nicht zu verbieten. Deswegen kann man gegen Emotet nur den Standardschutz empfehlen. Aktualisierungen, Virenscanner und Back-ups. Der größte Faktor, an dem auch die Uni Gießen arbeiten muss, ist das Bewusstsein der Nutzer. Die müssen kritischer sein und besser informiert werden. Die größte Schwachstelle aller IT-Systeme sind nämlich die Anwender. Wenn nur eine einzelne Person ein schwaches Passwort verwendet, ist das schon ein Einfallstor, das auch noch sehr leicht zu überwinden ist.
Komplexe Passwörter führen aber auch zu Problemen. Wer soll sich die merken?
Sie führen dazu, dass Menschen ein Format brauchen, um die Passwörter zu speichern. Excel-Listen sind da keine gute Idee, denn danach wird von Hacker explizit gesucht. Ein Kinderspiel. Mit Password Safe können wir Abhilfe schaffen. Das System ist auch für Universitäten interessant. Wir arbeiten gerade sogar an einer Variante speziell für Bildungseinrichtungen, die wir der Uni Gießen jetzt auch angeboten haben.
Hackerangriff auf Uni Gießen: "Ein genauer Rückschluss, von wo der Angriff exakt kam, ist sehr schwer"
Was halten Sie in diesem Zusammenhang von Gesichtserkennung?
Biometrische Daten zur Authentifizierung sind für den User großer Komfort. Wir denken aber auch darüber nach, was passiert, wenn zum Beispiel Ihre Gesichtssignatur aus zentralen Datenbanken an die Falschen gerät und die sich damit authentifizieren. Dann haben Sie ein Problem. Ein Passwort können Sie zurücksetzen, Ihr Gesicht bleibt, wie es ist.
Sind wir zu leichtfertig im Digitalen?
Wir müssten uns jedenfalls mehr Gedanken darüber machen und mit einfachen Dingen beginnen. Jeder kann bessere Passwörter verwenden, sie nicht mehrfach benutzen und überlegen, wo er sie speichert. Gerade im Unternehmenskontext. Nicht nur die Passwörter der IT müssen sicher sein, sondern alle. Der Gedanke, dass auf meinem Rechner sowieso nichts Wichtiges liegt, ist jedenfalls falsch.
Warum dauern die Aufräumarbeiten an der JLU jetzt so lange?
Das liegt an der Suche nach Schadsoftware. Zunächst müssen ja alle Systeme als kompromittiert angesehen werden. Es gibt Tools zum Suchen von Schadsoftware. Die Uni Gießen hat sich extra eines von einem Experten anpassen lassen. Damit wird System für System gecheckt, bereinigt und erneut geprüft. Wenn nur ein einziger infizierter Laptop hochgefahren wird, könnte es sein, dass alles wieder von vorne losgeht.
Haben Sie Hoffnung, dass die Verursacher aufgespürt werden?
Es gibt Möglichkeiten der forensischen Analyse, aber ein genauer Rückschluss, von wo der Angriff exakt kam, ist sehr schwer.
Zur Person: Cyber-Security Evangelist
Sascha Martens hat Mathematik/Mechatronik und Wirtschaftsinformatik studiert. Seit April ist er als Head of Solution Architects und Cybersecurity Evangelist bei Mateso tätig, ein international agierendes IT-Unternehmen mit Sitz in Augsburg. Der Begriff Evangelist findet in vielen Bereichen Einzug und beschreibt Experten und »Vordenker«, die sich mit zukünftigen Problemstellungen auseinandersetzen und Branchen allumfassend betrachten. Mit der Software »Password Safe« ist Mateso führender Anbieter von Sicherheitslösungen für Unternehmen. Vereinfacht gesagt ist Password Safe ein digitaler Tresor. Weltweit setzen mehrere Millionen User die Software ein, darunter 20 der Top 30 DAX-Unternehmen.
mac