Cyberangriff auf Universität Salzburg offenbar beendet

Hacker schlugen bei Salzburger Großmolkerei zu
Die 3.000 Mitarbeiter sollen demnächst wieder Zugriff auf ihre E-Mails bekommen. Keine Verschlüsselung, Erpressung und Abfluss von Daten festgestellt.

Nach einem Cyberangriff auf die Universität Salzburg Ende März sollen zentrale Systeme für die rund 3.000 Mitarbeiter nach neun Tagen Stillstand demnächst wieder online gehen. Wie Rektor Hendrik Lehnert am Dienstag in einem Pressegespräch betonte, habe das IT-Team den Angriff gemeinsam mit externen Experten proaktiv in den Griff bekommen. Offene Fragen zur Attacke gibt es aber genug: So sind offenbar weder Lösegeldforderungen eingegangen noch Daten abgesaugt worden.

Wie der IT-Chef der Paris Lodron Universität Salzburg (PLUS), Herbert Lohninger, berichtete, sei der Hackerangriff am späten Abend des 27. März durch eine Sicherheitswarnung bemerkt worden. „Wir haben uns sofort entschieden, den Mail-Server und verbundene Serverdienste vom Netz zu nehmen. Das war ein bewusster Schritt der IT“, sagte er. Man habe dann umgehend externe Sicherheitsunternehmen mit der Analyse beauftragt.

„Nach einer zeitintensiven forensischen Untersuchung sind wir daraufgekommen, dass es sich um eine neuartige und noch nicht bekannte Schadsoftware handelt.“ Es gebe aktuell aber keine Indizien für eine Erpressung oder für einen Datenabfluss an Benutzerdaten, es kam auch zu keiner Verschlüsselung.

Angriff vor neuen Sicherheitsvorkehrungen

Der Angriff - übrigens nur wenige Tag vor dem ursprünglich für den 4. April geplanten Roll-Out neuer Sicherheitsvorkehrungen - könne darum wohl nur mit dem Motiv „Reputationsverlust“ erklärt werden. Gerüchte, wonach die Hacker Rechenkapazitäten der Universität für das Mining von Kryptowährungen verwenden wollten, wollte Lohninger nicht kommentieren.

Über das vergangene Wochenende habe man schließlich zahlreich Systeme heruntergefahren, um den Stand vor dem Angriff und neue Sicherheitsmechanismen einzuspielen. „Wir wissen ja, wann der Angreifer gekommen ist“, betonte der IT-Chef. Am gestrigen Montag seien zudem alle Benutzer aufgefordert worden, ihre Kennwörter zu ändern. Die Konten der Studierenden der PLUS waren von dem Angriff übrigens nicht betroffen. Diese werden von Google verwaltet.

Wenig Hoffnung auf erfolgreiche Tätersuche

Lehnert - in der heutigen Sitzung des Uni-Senats am Nachmittag fällt auch die Entscheidung über eine zweite Amtsperiode des Rektors - meinte, eine Hackerattacke auf eine Bildungsinstitution sei völlig unakzeptabel und könne nur mit den Worten kriminell beschrieben werden. Die Hoffnung, bei der Spurensuche auf einen Täter zu stoßen, sei aber gering.

Wann die PLUS-Mitarbeiter tatsächlich wieder Arbeits-E-Mails empfangen und versenden können und Zugriff auf ihre Kalender haben, wollte Lohninger heute noch nicht sagen. Die gesperrten VPN-Verbindungen seien aber bereits aktiviert worden. Eine Recherche in der Unibibliothek sei damit etwa wieder möglich. Zudem habe die Universität den Fall dem Bundes- und dem Landeskriminalamt zur Anzeige gebracht. Auch eine Meldung an die Datenschutzbehörde sei erfolgt.

Lohninger entschuldigte sich bei der Pressekonferenz heute auch bei den Mitarbeitern der Universität. „Wir haben intern nicht so umfangreich kommunizieren können, wie wir das gerne getan hätten.“ Man wollte aber nicht, dass zu viel Informationen nach außen dringe und der Angreifer darum seine Taktik ändere. Lohninger kündigte heute auch weitere Sicherheitsmaßnahmen an. Dem Vernehmen nach soll etwa eine Zwei-Faktor-Authentisierung eingeführt werden.

Kommentare