Hackerangriff: FH Münster zieht Bilanz und teilt zentrale Erkenntnisse

Prof. Dr. Sebastian Schinzel erläuterte in einem Vortrag Hintergründe zum IT-Sicherheitsvorfall


Münster/Steinfurt (15. November 2022). Wer am Donnerstagabend (10. November) den großen Hörsaal auf dem Steinfurter Campus der FH Münster betrat, wurde von einem Countdown-Zähler an der Wand und spannungsvoller Hintergrundmusik empfangen – ein Vorgeschmack auf den Kriminalfall, dessen Hintergründe Prof. Dr. Sebastian Schinzel im Laufe der folgenden Stunde erläutern würde. Vor rund 100 Zuhörer*innen sowie weiteren 270 Interessierten, die per Videokonferenz dazugeschaltet waren, sprach der Leiter der Forschungsgruppe des Labors für IT-Sicherheit und IT-Sicherheitsbeauftragter der FH Münster offen über den Cyberangriff auf die Hochschule und teilte wichtige Erkenntnisse und Lehren. Eins seiner zentralen Ergebnisse vorweg: „Das war eine starke Teamleistung!“

Seinen Vortrag startete Schinzel mit einem Browserfenster, das ab dem 21. Juni dieses Jahres für rund zwei Wochen die FH-Startseite ersetzte: „Seite wurde nicht gefunden.“ „Das war Ihre Außenansicht“, sagte er. „Was war passiert?“ In einem Rückblick der vorangegangenen Ereignisse erklärte er, dass die Datenverarbeitungszentrale der Hochschule etwa ab Mai ein wiederkehrendes Muster bemerkt hatte: Eine Person mit FH-Kennung scannte unerlaubterweise das Intranet, die IT-Alarmsysteme schlugen an, die Person wurde gesperrt, wenige Tage wiederholte sich dieses Verhalten bei einer anderen Kennung. Am 20. Juni seien auf einem Server schließlich „auffällige Netzwerkaktivitäten“ bemerkt worden, insbesondere eine bestimmte Datei mit der Abkürzung „lsass“ – das ist ein zentraler Microsoft-Windows-Systemprozess mit dem Namen „Local Security Authority Subsystem Service“ – versetzte die IT-Sicherheitsfachleute der FH Münster in Aufruhr. „Die Auswertung der Datei bestätigte unsere größte Sorge: Jemandem war der Zugriff auf unsere interne Benutzer*innen-Verwaltung gelungen, darunter das Konto eines sogenannten Domain-Administrators – und der darf alles“, fuhr Schinzel fort.

Dann ging alles ganz schnell: Die Hochschule kontaktierte sofort eine externe IT-Sicherheitsfirma, die noch am selben Tag nach einer umfangreichen Analyse das Ausmaß des Angriffs bestätigte: „Alle Namen und FH-E-Mail-Adressen waren in den Händen der Hacker. Da auch sogenannte Passwort-Hashes – eine Art verschlüsseltes Passwort – gestohlen wurden, konnten wir nicht ausschließen, dass die Cyberkriminellen persönliche Zugangskennwörter rekonstruieren. So hätten sie volle Kontrolle über unser Netz – nutzten sie aber glücklicherweise noch nicht“, fasste Schinzel zusammen. Am 21. Juni traf der inzwischen eingerichtete Krisenstab der Hochschule die Entscheidung, ihre Systeme vom Netz zu nehmen. Konkret hieß dies: Von außen hatte niemand Zugriff, nur innerhalb der Hochschule funktionierten alle internen Systeme wie E-Mail-Programme, Lernplattformen und Verwaltungssysteme. Gleichzeitig konnte niemand aus der Hochschule heraus das Internet nutzen – mal eben etwas googeln ging dann auf dem Campus nicht mehr. „Wir haben uns damit Zeit gekauft, um den Angriff weiter zu analysieren und nach Lösungen zu suchen“, betonte der IT-Sicherheitsexperte und gestand auch: „Ganz unbedenklich war unser Vorgehen nicht. Aber Risikomanagement funktioniert nicht, in dem man alle Risiken vermeidet. Wir mussten Entscheidungen treffen, damit die Beschäftigten und Studierenden weiterarbeiten können.“

Die folgende Phase des Wiederaufbaus sei laut Schinzel neben technischen Herausforderungen auch von vielen Aufgaben geprägt gewesen, die nichts mit IT-Sicherheit zu tun haben: FH-Angehörige und die inzwischen neugierig gewordene Öffentlichkeit informieren, die anstehende Prüfungsphase organisieren, einen Plan B für die aktive Einschreibungsphase entwickeln und viele weitere Punkte. „Wir wurden am Semesterende angegriffen. Einen Monat später hätten wir alle Zeit der Welt gehabt“, berichtete der Hochschullehrer. Während nach außen hin die Notfall-Webseite der Hochschule wuchs, um alle Zielgruppen mit Informationen zu versorgen, erdachten die Techniker*innen im Hintergrund mit Hochdruck einen Ausweg aus der Abschottung: zuerst ein Passwort-Rest aller 18.000 aktiven Nutzer*innen, im zweiten Schritt eine verpflichtende Multi-Faktor-Authentifizierung für bestimmte Dienste.

Auch der Passwort-Reset konfrontierte den Krisenstab mit vielen nicht-alltäglichen Fragen. Da ein simpler Online-Reset der Passwörter aus Sicherheitsgründen nicht in Frage kam, mussten Einmalpasswörter per Post und an die nur teilweise hinterlegten privaten E-Mail-Adressen der Nutzer*innen verschickt werden. Aber wer druckt 18.000 Briefe und steckt sie in Briefumschläge? Wie werden Hochschulmitglieder unterstützt, die technische Fragen haben? Was ist mit Personen, die ihr Geburtsdatum, dessen Angabe Teil des Resets war, nicht kennen oder es durch einen Tippfehler falsch angegeben haben? Rund 130 Personen der Hochschule unterstützten den Prozess und betreuten eine kurzfristige eingerichtete Telefon-Hotline, halfen vor Ort an Ausgabestellen aus oder begleiteten ein Video-Ident-Verfahren für Personen, die nicht in Münster oder Steinfurt waren. Am 2. Juli schaltete die Hochschule ihre Systeme wieder online. „Mein Puls steigt direkt, wenn ich an diesen Tag zurückdenke“, betonte Schinzel. Außerhalb des Hochschulgeländes konnten Beschäftigte von nun an nur über eine sichere, verschlüsselte Verbindung mittels zwei Faktoren – ihrem neu gesetzten Passwort und einem durch eine App zufällig generierten Sicherungscode – auf die meisten FH-Systeme zugreifen. „Die FH-Angehörigen nahmen diese Zusatzaufwände gerne in Kauf “, fasste er einen positiven Effekt des Vorfalls zusammen.

Einen erneuten Hackerangriff kann der Sicherheitsexperte trotzdem nicht ausschließen. „Wer weiß, was in fünf oder zehn Jahren ist. Absolute Sicherheit gibt es nie. Als Hochschule können wir unsere IT nicht wasserdicht abschotten wie beispielsweise eine Bank. Forschung und Lehre leben davon, dass wir uns zu einem gewissen Grad öffnen“, betonte der Professor für Kryptografie, Cybersicherheit und Sicherheit medizinischer IT. „Doch wir haben gelernt, dass eine sinnvolle Kommunikations-Infrastruktur essentiell ist. Nach dem Angriff haben wir zwar wenig Zeit verloren, aber die Kommunikation nahm einen großen Teil davon ein. Unsere Idee ist daher, eine Art Schatten-IT inklusive Adressverzeichnis aufzubauen. Im Bedarfsfall würden wir dann einfach den Hebel umlegen und mit unseren Notfallsystemen weitermachen.“ In der abschließenden Frage- und Diskussionsrunde interessierten sich die Anwesenden unter anderem für die Identität der Hacker und ihre Absichten. Zu beiden Punkten kann beziehungsweise darf Schinzel nichts sagen. „Aus ermittlungstaktischen Gründen werden wir nicht bekanntgegeben, was wir über die Identität der Hacker wissen. Nur so viel: Das waren Profis.“ Da es kein Erpressungsschreiben oder Ähnliches gab, könne die Hochschule über die Hintergründe des Angriffs nur mutmaßen. Die Kosten des Hackerangriffs bezifferte Prof. Dr. Frank Dellmann, Präsident der FH Münster, auf Nachfrage mit einem Betrag in sechsstelliger Höhe. „Dazu zählen die Ausgaben für externe Dienstleister. Nicht mit Zahlen ausdrücken können wir hingegen den unermüdlichen und hochprofessionellen Einsatz unserer Beschäftigten in dieser turbulenten Zeit“, hob er anerkennend hervor.

Als grundsätzlichen Tipp zum Schutz vor Cyberkriminalität appellierte Schinzel an die Eigenverantwortung jedes Einzelnen. Für das kommende Jahr plane die FH daher zusätzlich zu ihren Aufklärungskampagnen für die Beschäftigten auch Studierende umfangreich über verantwortungsvolle Passwortnutzung und den Umgang mit Phishing-Mails zu informieren.

Zum Thema: Der Vortrag war Teil der Westmünsterland Themenwoche zur IT-Sicherheit, einer Initiative der Wirtschaftsförderungen der Kreise Borken, Coesfeld und Steinfurt, der IHK Nord Westfalen, der HWK Münster, des AIW Unternehmensverbands sowie der FH Münster. Die Videoaufzeichnung ist abrufbar unter fh.ms/yt_cyberangriff. Prof. Dr. Sebastian Schinzel lehrt und forscht am Fachbereich Elektrotechnik und Informatik der FH Münster zu angewandter Kryptografie, Cybersicherheit und Sicherheit medizinischer IT.


Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Weitere Informationen und die Möglichkeit zum Widerruf finden Sie in unserer Datenschutzerklärung.
Seite drucken