Uni Liechtenstein ist nach Hackerattacke seit drei Wochen down

Es war ein böses Erwachen nach dem Nationalfeiertag an der Universität Liechtenstein in Vaduz. Die erste und einzige Uni im Fürstentum mit rund 800 Studierenden und 200 Angestellten wurde Mitte August das Opfer einer Ransomware-Attacke. Unbekannte Kriminelle drangen in die Uni-Systeme ein und legten alle lokalen IT-Systeme mit einem Verschlüsselungs-, bzw. Erpressungstrojaner lahm.

Zunächst war die Uni vollständig ausser Gefecht gesetzt: Mitarbeitende hatten temporär keinen Zugriff auf ihre E-Mail-Konten, Studierende können sich bis heute nicht wie gewohnt für Lehrveranstaltungen anmelden und die reguläre Webseite ist nach wie vor offline. Auf www.uni.li wird mit einer provisorischen Webseite über die Folgen der Hacker-Attacke informiert, alle anderen Seiten und die Login-geschützten Bereiche sind offline.

"Die Anmeldung zu den fakultätsübergreifenden Wahlfächern muss dieses Semester anders als üblich durchgeführt werden", teilte die Uni den Studierenden mit. Dafür musste in Eile ein entsprechendes Tool aufgesetzt werden. Allgemeine Informationen an Studierende werden behelfsmässig über den Online-Speicherdienst Dropbox zur Verfügung gestellt.

Hacker legen Hardware und Software lahm

Drei Wochen nach dem Ransomware-Angriff kämpft die Uni immer noch mit den Folgen des Hacks, der offenbar massiv war: "Grundsätzlich sind alle IT-Systeme der Universität Liechtenstein (Hardware und Software) durch den Ransomware-Angriff betroffen", bestätigt Herwig Dämon, Leiter der Kommunikation, auf Anfrage. Die Hacker legten beispielsweise auch die digitale Schliessanlage des Universitätsgebäudes lahm.

Verschont blieben nur jene "Anwendungen, die im Rahmen des laufenden IT-Programms im Vorfeld in die Cloud ausgelagert worden sind", so Dämon.

Systeme könnten monatelang ausfallen

Bei früheren angegriffenen Universitäten zeigte sich, dass die Bewältigung einer massiven Ransomware-Attacke Monate dauern kann. Die Technische Universität Berlin war Ende April 2021 Ziel einer Cyberattacke. Die Behebung der Folgeschäden läuft über vier Monate später noch immer. Der zeitliche Aufwand ist enorm, da unzählige IT-Systeme nicht nur wiederhergestellt, sondern auch sicherer gemacht werden müssen. Denn die Gefahrenlage nimmt ständig zu oder anders gesagt: Nach dem Hack ist vor der nächsten Cyberattacke.

Semesterstart mit Corona und Erpressungstrojaner

Der Ransomware-Angriff auf die Uni Liechtenstein von Mitte August fiel in die Semesterferien. Glück im Unglück, könnte man meinen. Doch am 1. September hat das neue Semester begonnen und Mitarbeitende und Studierende müssen weiterhin auf diverse IT-Systeme verzichten. Das macht den Semesterstart in Coronazeiten nicht einfacher.

In Vaduz wurden inzwischen erste Fortschritte erzielt: "Glücklicherweise ist es uns gelungen, den Zugriff auf unsere Daten wiederzuerlangen", schreibt die Uni. Daher konnte Anfang September das Wintersemester trotz allem Ungemach starten.

Uni warnt Mitarbeitende und Studierende vor weiteren Risiken

Die Uni reagierte nach der Ransomware-Attacke schnell und informierte bereits am nächsten Tag über den Angriff. Dabei wurde auch ein möglicher Datenabfluss nicht verschwiegen.

Angestellte und Studierende werden auf der provisorischen Webseite über die weiteren möglichen Risiken der Malware-Attacke informiert:

"Ein wichtiger Sicherheitshinweis für alle Dozierenden, Studierenden und Mitarbeitenden: Sollten Sie das Passwort für Ihren Uni-Account auch für private Accounts (Google, Amazon, Facebook etc.) verwendet haben, ändern Sie diese umgehend. Aktivieren Sie bei den privat verwendeten Accounts ausserdem die 2-Faktor-Authentisierung, sofern dies angeboten wird", warnt die Universität Liechtenstein.

Bei einer Ransomware-Attacke ist es wahrscheinlich, dass die Täter nicht nur IT-Systeme blockieren, sondern auch Daten stehlen. Davon betroffen sind meist auch Mitarbeitende oder in diesem Fall Studierende. Daher sollte man für Uni- und Firmen-Konten nie das gleiche Passwort wie für das private E-Mail-Konto nutzen.

Hacker sichern sich mit dem Datenklau zusätzlich ab: Können die Opfer ihre verschlüsselten IT-Systeme mittels Backup wieder herstellen, drohen die Erpresser damit, die gestohlenen Daten zu veröffentlichen oder wertvolle Informationen wie Passwörter, Postadressen oder Sozialversicherungsnummern auf einschlägigen Untergrund-Marktplätzen an den Höchstbietenden zu verkaufen. Auch in diesem Fall ist ein Datenabfluss ein zumindest realistisches Szenario.

Mehrere Fragen bleiben offen

Die Uni schreibt: "Offen ist nach wie vor, wer für diesen Ransomware-Angriff verantwortlich ist. Der Universität Liechtenstein sind diesbezüglich keine Forderungen bekannt. Strafanzeige wurde erstattet, die Polizei ermittelt."

Auch drei Wochen nach dem Hack bleiben mehrere Fragen ungeklärt:

• Wurden Daten gestohlen? Von der Uni oder auch von Angestellten und Studierenden?

• Warum wurden IT-Systeme verschlüsselt und danach kein Lösegeld gefordert? In der Regel hinterlassen Angreifer eine Nachricht mit der Aufforderung, ein Lösegeld zu überweisen. Im Gegenzug werden die gesperrten IT-Systeme oft wieder hergestellt, eine Garantie dafür haben die Opfer natürlich nicht.

• Und: Wie drangen die Angreifer in die Uni-Systeme ein? Oft beginnen Ransomware-Angriffe mit Phishing-Angriffen, wobei Kriminelle durch Ausnutzung eines Fehlers oder Versehens seitens eines Mitarbeitenden Zugang zum IT-System gewinnen. Die Hacker bauen beispielsweise die Webseite einer Uni nach, um die Login-Daten der Betroffenen zu erbeuten.

Unis sind beliebte Angriffsziele

Hochschulen sind dankbare Ransomware-Opfer, da es naturgemäss zahlreiche Einfallstore gibt (Campusrechner, Bibliothekscomputer etc.), viele Daten ausgetauscht werden und sie teils über kleine Sicherheitsteams verfügen. Zudem können Studierende auf gewisse Systeme auch von ihren privaten Geräten zugreifen.

Universitäten geraten denn auch immer wieder ins Visier von Erpressungs-Hackern. "Mit unseren Sicherheitsmassnahmen fangen wir täglich Tausende unerwünschte E-Mails im Zusammenhang mit Phishing, Spam und Malware ab", sagte Eva Tschudi, Leiterin Kommunikation der Ostschweizer Fachhochschule am Donnerstag gegenüber dem Tagblatt. "Auf diesem oder anderen Wegen finden immer wieder Verschlüsselungstrojaner den Weg ins Haus." Bei anderen Bildungsinstitutionen dürfte es nicht anders aussehen.

Seitens Universität Liechtenstein wird auf die laufenden Ermittlungen verwiesen: Aufgrund der Ermittlungen, an denen die Landespolizei Liechtenstein beteiligt ist, könne man keine weiteren Ausführungen machen.

In den letzten Tagen und Wochen wurden diverse Ransomware-Angriffe auf Schweizer Firmen und Behörden bekannt: etwa Comparis, die Pallas Kliniken und die von watson aufgedeckten Vorfälle bei Saurer, Habasit, Rolle und Matisa. Sie zeigen exemplarisch: Jede und jeder kann von einer Ransomware-Attacke betroffen sein. Wichtig ist, sich strategisch auf eine solche Krise vorzubereiten und einen Notfallplan zu haben.

Opfer einer Ransomware-Attacke? Darum sollten Betroffene nicht bezahlen

Das Projekt "No More Ransom" stellt kostenlose Entschlüsselungstools für Opfer von Ransomware-Attacken zur Verfügung. Aktuell werden 121 kostenlose Decryption-Tools, die 151 Ransomware-Familien entschlüsseln können, zur Verfügung gestellt. Mehr als sechs Millionen Ransomware-Opfer konnten so in den letzten fünf Jahren ihre Dateien entschlüsseln, ohne Lösegeld zu zahlen. Den Erpressern sollen bislang 900 Millionen Euro (973 Millionen Franken) entgangen sein. Hinter dem Projekt "No More Ransom" stehen Europol, die niederländische Polizei, Kaspersky und McAfee.

Dieser Beitrag ist zuerst bei watson.ch erschienen.