https://www.faz.net/-gyl-acu50
Bildbeschreibung einblenden

Attacken auf Unis : Im Kampf gegen Hacker

Anspruchsvolle Aufgabe: Matthias Reyer muss die IT-Systeme der TU Berlin schützen. Bild: Andreas Pein

Hochschulen werden immer wieder Ziel von Hackerangriffen. Prüfungsleistungen und Forschungsdaten können verloren gehen, der Unibetrieb im Chaos versinken. Besuch bei einem Mann, der seine Institution verteidigt.

  • -Aktualisiert am
          5 Min.

          Der Angriff erreichte Matthias Reyer am frühen Morgen, so etwa zwischen seiner ersten und zweiten Tasse Kaffee. Das Telefon klingelte, ein IT-Mitarbeiter hatte im System verdächtige Aktivitäten entdeckt – ein mögliches Indiz für einen Hackerangriff. Reyer leitet das Campusmanagement an der Technischen Universität Berlin. Damit ist er Herr über Hunderte Server, die das Rückgrat der digitalen Welt der Hochschule bilden. Vom E-Mail-Service bis zur Gehaltsauszahlung läuft hier alles zusammen.

          15 Minuten nach dem ersten Anruf klingelt das Telefon erneut: Die verdächtigen Aktivitäten haben zugenommen. Von da an wird es für Reyer hektisch. „Unsere Abwägung war: Besprechen wir das jetzt noch einmal mit zehn weiteren Leuten, oder gehen wir ins Risiko und schalten sofort ab?“, sagt er. „Aber uns war bekannt, dass es durchs Verschleppen nur noch schlimmer werden kann.“

          Also gibt Reyer das Kommando fürs Herunterfahren aller Windows-Systeme, damit sich die Hacker nicht weiter ausbreiten können. Die Konsequenzen bekommen Studenten wie Mitarbeiter zu spüren: E-Mails, WLAN, SAP-Anwendungen und viele andere Dienste gehen offline. Aber immerhin: Mit dieser Reaktion konnten sie Schlimmeres verhindern.

          Tod einer Patientin in der Uniklinik Düsseldorf

          Die TU Berlin ist nicht die einzige Hochschule, die zuletzt das Ziel von Hackern geworden ist. Ende 2019 drangen Kriminelle ins System der Uni Gießen ein und sorgten damit monatelang für Probleme und einen Schaden von über 1,7 Millionen Euro. Im Herbst 2020 wurde die Uniklinik Düsseldorf von Erpressern lahmgelegt, die offenbar eigentlich die Heinrich-Heine-Universität hatten treffen wollen. Im schlimmsten Fall könnten bei so einer Attacke alle Dateien auf Uni-Servern unbrauchbar gemacht werden: Prüfungsleistungen, Forschungsdaten – die Früchte jahrelanger Arbeit wären verloren, und der Unibetrieb versänke im Chaos. Im Fall der Uniklinik starb eine Patientin, die erst mit einstündiger Verzögerung in einem anderen Krankenhaus behandelt werden konnte.

          Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) professionalisieren sich Hacker zunehmend. Keine Institution kann sich dabei hundertprozentig schützen, selbst das Pentagon wurde 2020 gehackt. Universitäten aber haben es besonders schwer: Durch die heterogene Struktur mit all den Instituten und wechselnden Nutzern ist es noch schwieriger, Lücken zu vermeiden.

          Matthias Reyer und sein Team versuchen in diesen Tagen derweil ihr Bestes, um das System der TU wieder zum Laufen zu bringen. Auch sieben Wochen nach diesem hektischen Morgen läuft noch längst nicht alles rund. Mitte Juli soll das richtige E-Mail-System wieder online gehen, bis jetzt nutzen sie noch ein Provisorium. Besucht man Reyer in den Räumen seines IT-Notfallstabs im Elek­trotechnik-Gebäude der TU, denkt man zunächst, die Kriminellen hätten nicht nur Dateien, sondern auch Büro-Einrichtung erbeutet. „Wenn mich die Leute zum ersten Mal besuchen, fragen die manchmal: „Herr Reyer, verlassen Sie uns etwa?“ Die leeren Wände und Tische seines Büros zeigen kein Zeichen von Leben, außer Herrn Reyer selbst, der gut gelaunt hinter einem der Bildschirme sitzt.

          Die drei großen Kisten, die neben seinem Schreibtisch stehen, fallen da direkt auf. Zwei davon gehören der Einsatztruppe, die Reyer angeheuert hat: der IT-Krisendienstleister HiSolutions AG, der gehackten Unternehmen schnelle Hilfe schickt. Ohne so einen geht im Ernstfall wenig. Die Spezialisten arbeiten jeden Tag im Worst-Case-Szenario ihrer Kunden. Der dritte Koffer in Reyers Büro ist voller Blätter und bunter Stifte, ein Moderationskoffer für Seminare. „Na ja, am Anfang ging ja elektronisch erst mal nicht viel“, sagt Reyer, der direkt nach dem Abschalten der Systeme ungewohnt analog auskommen musste.

          „Wir hoffen immer, dass keiner zahlt“

          Einen Tag nach dem Hack waren die Forensiker schon auf dem Campus der TU, um sich Kopien der Server auf ihre Festplatten zu ziehen. Sie sollten herausfinden, durch welche Schwachstelle die Hacker ins System gelangt sind und was sie gestohlen haben. Es ist eine mühselige Spurensuche: jeder Fährte nachgehen und den Weg der Eindringlinge rekons­truieren.

          F.A.Z. Digitec: jetzt testen!

          Nehmen Sie die digitale Zukunft selbst in die Hand.

          Mehr erfahren

          Nur in den seltensten Fällen würden Schwachstellen ausgenutzt werden, die sonst noch keiner kennt, sagt Timo Kob, Vorstand der von der TU eingesetzten HiSolutions AG. Ursache seien meistens Lücken, die schon öffentlich sind, aber von Unternehmen und Institutionen nicht schnell genug geschlossen worden seien. Deshalb klopfen seine Leute als Erstes die bekannten Schwachstellen ab. So seien sie auch bei der TU Berlin vorgegangen. Ein anderes verbreitetes Einfallstor: Nutzer klicken in einer getarnten E-Mail auf einen infizierten Link oder Anhang und holen so die Kriminellen ins Haus. So war es wahrscheinlich bei der Uni Gießen. Dazu, was das Einfallstor bei der TU Berlin gewesen ist, wollen sich Reyer und Kob derweil nicht äußern.

          Nach dem Einbruch versuchen die Kriminellen üblicherweise alle Daten zu verschlüsseln. Für den Zugangsschlüssel verlangen sie dann Lösegeld. Um den Druck zu erhöhen, veröffentlichen sie oft einen Teil der Daten im Internet. Auch bei der TU Berlin waren nach dem Hack einige Daten im Netz aufgetaucht.

          Es kommt darauf an, gute Sicherheitskopien zu haben, sagt Kob. Ansonsten sei man aufgeschmissen – oder muss sich den Erpressern beugen und bezahlen. Doch davon rät er dringend ab. „Wir hoffen immer, dass keiner zahlt. Denn damit füttert man ja die Bestie. In dem Moment wird das Geschäft immer attraktiver“, sagt er.

          IT-Sicherheitschef der Uni Gießen

          Im Fall der Uni Gießen und der TU Berlin waren zum Glück genügend Sicherheitskopien vorhanden. Die Hacker hätten sich bei ihnen nicht gemeldet, um Lösegeld zu fordern, heißt es von den beiden Hochschulen. Die Erpresser der Uniklinik wiederum lenkten damals ein: Als ihnen die Polizei mitgeteilt hatte, dass sie die falsche Uni gehackt hatten, schickten sie den Zugangsschlüssel für die Daten.

          Auch Matthias Stenke kennt es, plötzlich vor unbrauchbaren Dateien zu stehen. Er ist IT-Sicherheitschef der Uni Gießen und war dabei, als an einem Sonntag im Dezember 2019 der Angriff geschah. Neun Monate habe der Hack ihn und das IT-Team beschäftigt, sagt er. Aber sie hätten die Situation genutzt: „Wir haben das als Chance gesehen, um die Architektur deutlich sicherer zu machen“. Zwar sei nicht vollständig zu verhindern, dass in Zukunft wieder jemand auf einen verseuchten Link klickt, aber man könne abwenden, dass sich das Virus danach ausbreitet. Mehr will er nicht verraten. Die Aufgabe sei insgesamt jedoch nicht leicht. „IT-Sicherheit ist an Hochschulen im Vergleich zu Unternehmen eine noch deutlich größere Herausforderung“, sagt er. Es gebe eine gewachsene Infrastruktur und einen Datenaustausch zu anderen Hochschulen. Dadurch dass Studenten und Mitarbeiter oft wechseln, sei es schwer, durch Aufklärung für wachsames Nutzerverhalten zu sorgen.

          Das komplexe Uni-System

          Das sieht auch der Krisendienstleister Kob so. „Hochschulen sind extrem schwer zu schützen, weil die natürlich eine sehr heterogene Struktur haben“, sagt er. „Die Sicherheitsstruktur ist bei den Hochschulen nicht zentralisiert an einer Stelle, sondern die Institute haben auch noch eigene Server unter ihrer Hoheit.“ Das sei zwar unausweichlich, aber dann auch schwerer zu verteidigen. „Da gibt’s halt mehr Angriffspunkte“, erklärt Kob. Auch in einem Dax-Konzern gebe es zwar verteilte Server, aber die stünden dann alle unter einer Leitung.

          Für Matthias Reyer vom Notfallstab der TU Berlin ist es der Fluch der guten Tat. „Der Schutz an Universitäten ist komplexer, weil wir mehr ermöglichen wollen“, sagt er. Es sei immer ein Konflikt zwischen dem Machbaren und der Sicherheit. Je mehr Programme und Schnittstellen man den Nutzern bietet – desto anfälliger wird das System.

          Gerade deswegen, sagt IT-Sicherheitschef Stenke von der Uni Gießen, sollten Hochschulen einen Notfallplan für solche Fälle parat haben. Den hätten noch längst nicht alle. Und natürlich müssten sie sich intensiv mit dem Thema ausein­andersetzen. „Da am Ball bleiben und die Sicherheitsarchitektur aktiv weiterentwickeln – das ist schon wichtig.“ Immerhin sei das Thema durch die Vorkommnisse in den letzten zwei Jahren an vielen Hochschulen durchaus präsent. „Wir hatten nach dem Angriff auch sehr viele Anfragen von Unis und Forschungseinrichtungen, die sich mit uns dazu austauschen wollten“, sagt Stenke.

          Im kargen Büro von Matthias Reyer hat sich bis jetzt noch keine andere Hochschule gemeldet, um sich Rat bei ihm zu holen. Sie wissen, dass er dafür gerade noch keine Zeit habe, sagt er. Und jetzt muss er auch schon los zum nächsten Termin mit dem Vizepräsidenten der TU. Zu viel bleibt noch zu tun für ihn und seine Mannschaft. Eine Aufgabe, die in Zukunft noch auf manch andere Uni zukommen dürfte.

          Jetzt mit F+ lesen

          Besuch in Flutgebieten : Laschet erlebt die Wut

          Der Ministerpräsident von Nordrhein-Westfalen besucht Orte, die hart von der Flut getroffen wurden. Da entlädt sich der Ärger von Betroffenen.
          Die Olympiasieger im Hochsprung Gianmarco Tamberi aus Italien (links) und Mutaz Essa Barshim aus Qatar

          Olympia-Gold um jeden Preis? : Blick in den Abgrund

          Mutaz Essa Barshim und Gianmarco Tamberi teilen sich Gold im Hochsprung. Was sie nach dem Olympiasieg über ihre Leidenszeit zuvor berichten, ist eher Mahnung als Inspiration für Kinder und Jugendliche.
          Lichtblick: Obwohl der Spessart populärer wird, gibt es dort noch ruhige Wanderwege wie hier bei Sinntal.

          Urlaub in der Region : Spessart als Geheimtipp

          Das Corona-Virus sorgt für Nachfrage auch in ländlichen Urlaubsregionen: Die Ferienwohnungen im Spessart sind gut ausgelastet. Doch Hotels und Pensionen haben noch Zimmer frei.
          In Partylaune: Deutsche Urlauber feiern am Strand von Arenal.

          Tourismus : Keiner will die Billigurlauber

          Der Partytourist gerät in Misskredit: Viel saufen und wenig zahlen, das wollen viele Staaten nicht mehr. Hinzu kommt der Klimaschutz. Naht das Aus für den billigen Urlaub?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.
          Dieser Artikel wurde Ihnen von einem Abonnenten geschenkt und kann daher kostenfrei von Ihnen gelesen werden.
          Zugang zu allen F+Artikeln