Über ein Phishing-Mail habe sich jemand am Abend des 3. Februar unerlaubten digitalen Zutritt zum Universitätsnetzwerk verschafft, bestätigte Cornelius Granig, Cybersecurity-Experte und Berater der Universität Graz am Freitag – mehr dazu in Hackerangriff auf Uni Graz.
Schnelle Entdeckung verhinderte Schlimmeres
Der Angriff sei aber „sehr schnell entdeckt“ worden, so Granig, daher konnten die Täter ihre geplanten Aktivitäten nicht fortführen. „Die Uni Graz hat in dieser Woche auch Teile der Bereiche, wo Daten gespeichert werden, analysiert, und diese standen daher auch den Studenten und MitarbeiterInnen nicht zur Verfügung. Und man hat herausgefunden, dass die Täter eigentlich keine Möglichkeit hatten, sehr viele Informationen der Universität Graz einzusehen“, so Granig.
Unklar, ob Daten abgesaugt wurden
Das Back-up-System wurde abgekoppelt und stehe nun, selbst wenn es zu einer Verschlüsselung von Daten durch die Täter kommen sollte, zur Verfügung. Noch nicht klar ist, ob tatsächlich Daten abgesaugt wurden. Die Möglichkeit bestehe, hieß es, aber im Darknet wurden bisher keine Daten der Uni auf den bekannten Handelsplätzen angeboten. Ein Erpresserschreiben sei bisher ebenfalls nicht bekannt oder bei der Uni eingelangt.
Wenn tatsächlich Daten abgesaugt wurden, so seien diese jedenfalls verschlüsselt, sagte der Rektor. Granig zufolge müssten sich die Täter somit schon die Mühe machen, diese zu entschlüsseln. Ob sie das täten, sei unklar. Nachdem der Eindringling entdeckt worden war, habe er laut dem Experten noch versucht, etwas an seiner Taktik zu ändern, doch auch das sei mit Hilfe der K-Businesscom (vormals Kapsch BusinessCom) verhindert worden.
Einstieg ins System wird erschwert
Man habe den Schaden aus jetziger Sicht verhältnismäßig gering halten können, sagte Peter Riedler, Rektor der Universität Graz – einige IT-Systeme müssten aus Sicherheitsgründen aber nach wie vor abgeschaltet bleiben.
Als Reaktionen sollen weitere Investitionen ins Sicherheitssystem folgen, so Riedler, und seit Montag habe man das Anmeldesystem geändert. „Das heißt für die Mitarbeiterinnen und Mitarbeiter, für die Studierenden, dass wir insgesamt und dauerhaft auf die sogenannte Multifaktoren-Authentifizierung umsteigen werden, dass also der Einstieg ins System schwieriger wird, wie man es von Banken auch kennt. Da haben wir auch bereits mehr als die Hälfte der Mitarbeiter und Mitarbeiterinnen umstellen können und auch fast 4.000 Studierende“, so Riedler.
Kein Parallel-System
In den vergangenen beiden Tagen seien Systeme nach und nach wieder hochgefahren worden. Man habe beobachtet, ob es dabei zu Problemen oder Verschlüsselungen komme, diese seien aber ausgeblieben. Der Zugriff auf E-Mails aus dem Ausland sei aus Sicherheitsgründen nach wie vor nicht möglich. Der Rektor schilderte, dass man sich nach Bekanntwerden der Attacke gegen die Implementierung eines Parallel-Systems entschieden habe, was in solchen Fällen oftmals gemacht werde. „Die gesamte Uni vom Netz nehmen war keine Option“, so Riedler. Wesentliche Systeme konnten genutzt werden, um den Prüfungs- und Studienbetrieb weitgehend über die Bühne zu bringen. „Es ist aber noch nicht alles erledigt und wunderbar. Der Angriff wird uns noch länger verfolgen.“ Weitere Sicherheitsmaßnahmen seien geplant.
7,3 Millionen E-Mails Phishing oder Spam
Rektor Riedler bot bei der Pressekonferenz am Freitag auch einige Zahlen zur Untermalung der Herausforderungen im Umgang mit IT-Sicherheit: Allein im Jänner 2023 wurden von rund 8,8 Millionen E-Mails an der Universität Graz 7,3 Millionen als Phishing oder Spam identifiziert und daher nicht zugestellt. Der Anteil schwankte in den vergangenen Jahren zwischen 70 und 90 Prozent des gesamten E-Mail-Aufkommens an der Uni.
„Eher zufällig Opfer geworden“
Cyberattacken auf Universitäten seien keine Seltenheit, meinte Granig – es dürfte sich aber nicht um eine zielgerichtete Attacke gehandelt haben: „In vielen Fällen ist es so, dass die Täter wahllos vorgehen, dass also Spam-Mails verschickt werden an beliebige Organisationen und beliebige Menschen. Das ist auch im Hinblick auf die aktuelle Cyberattacke an der Universität Graz unsere Vermutung, dass die Uni nicht dediziert Opfer einer Cyberattacke wurde, sondern eher zufällig, und dass sie damit sehr gut umgegangen ist.“
Insgesamt gab es in Österreich allein im vergangenen Jahr fast 50.000 Anzeigen wegen Cyberkriminalität, das seien bereits 13 Prozent aller Straftaten, so Granig.