Eine Woche nach dem Cyberangriff auf die Universität Graz haben am Freitag Rektor Peter Riedler und Cybersicherheitsexperte Cornelius Granig von Grant Thornton Austria erste umgesetzte Maßnahmen dargestellt und den Ablauf des Angriffs skizziert: Wesentliche Systeme der Uni seien nun mit einer Multifaktoren-Authentifizierung, ähnlich wie bei Online-Bankgeschäften, ausgestattet und wieder in Betrieb. Außerdem wurde die Pforte, über die der Eindringling ins System kam, erkannt.

Granig zufolge ist die Uni Graz kein Einzelfall, und oftmals werden Unternehmen und Institutionen Freitagabend angegriffen, weil die Täter Hoffnung haben, am Wochenende länger unentdeckt zu bleiben. Auch im Fall der Uni Graz startete der Angriff Freitagabend. Der oder die Täter haben über den Account eines Studierenden Zugriff auf das Netzwerk erhalten. "Wir kennen den genauen Zeitpunkt und den Account der betreffenden Person", so Riedler. Nachdem der Täter Zugriff hatte, habe er sich im Netzwerk umgeschaut; eine Schadsoftware sollte dann das gesamte System infizieren.

Unklar, ob Daten abgesaugt wurden

Das "Intrusion Detection System" der Uni hat das aber rasch erkannt, und schon nach wenigen Stunden wurden virtuelle Grenzen hochgezogen, um dem Eindringling die Rechte im Netzwerk zu entziehen. Das Back-up-System wurde abgekoppelt und stehe nun, selbst wenn es zu einer Verschlüsselung von Daten durch die Täter kommen sollte, zur Verfügung. Noch ist nicht klar, ob tatsächlich Daten abgesaugt wurden. Die Möglichkeit bestehe, aber im Darknet wurden bisher keine Daten der Uni auf den bekannten Handelsplätzen angeboten. Ein Erpresserschreiben sei bisher ebenfalls nicht bekannt oder bei der Uni eingelangt.

Wenn tatsächlich Daten abgesaugt wurden, so seien diese jedenfalls verschlüsselt, sagte der Rektor. Granig zufolge müssten sich die Täter somit schon die Mühe machen, diese zu entschlüsseln. Ob sie das tun, sei unklar. Nachdem der Eindringling entdeckt worden war, habe er laut dem Experten noch versucht, etwas an seiner Taktik zu ändern, auch das sei mit Hilfe der K-Businesscom (vormals Kapsch BusinessCom) verhindert worden, bedankte sich Riedler für die Zusammenarbeit mit dem Unternehmen. Granig hofft nun, dass die Täter aufgeben, sicher sei das aber nicht: "Die Situation ist nun aber sehr stabil."

Statistiken

In den vergangenen beiden Tagen seien Systeme nach und nach wieder hochgefahren worden. Man habe beobachtet, ob es dabei zu Problemen oder Verschlüsselungen kommt, diese blieben aber aus. Der Zugriff auf E-Mails aus dem Ausland sei aus Sicherheitsgründen nach wie vor nicht möglich. Der Rektor schilderte, dass man sich nach Bekanntwerden der Attacke gegen die Implementierung eines Parallelsystems entschieden habe, was in solchen Fällen oftmals gemacht werde. "Die gesamte Uni vom Netz nehmen war keine Option", so Riedler. Wesentliche Systeme konnten genutzt werden, um den Prüfungs- und Studienbetrieb weitgehend über die Bühne zu bringen. "Es ist aber noch nicht alles erledigt und wunderbar. Der Angriff wird uns noch länger verfolgen." Weitere Sicherheitsmaßnahmen seien geplant.

Rektor Riedler bot bei der Pressekonferenz am Freitag auch einige Zahlen zur Untermalung der Herausforderungen im Umgang mit IT-Sicherheit: Allein im Jänner 2023 wurden von rund 8,8 Millionen E-Mails an der Universität Graz 7,3 Millionen als Phishing oder Spam identifiziert und daher nicht zugestellt. Der Anteil schwankte in den vergangenen Jahren zwischen 70 und 90 Prozent des gesamten E-Mail-Aufkommens an der Uni.

Laut Granig gelten 52 Prozent aller E-Mails weltweit als Spam-Mails. Im Jänner wurden zudem rund 3.000 Angriffe mit Malware (Viren oder Trojaner, Anm.) von der sogenannten Borderfirewall der Hochschule eliminiert. Die Firewall entsorgte im gleichen Zeitraum auch rund 30.300 Botnets, also automatisierte Schadprogramme. Weiters wurden rund 385.000 sogenannte Intrusions, gezielte Angriffe auf Systeme der Uni Graz, von der Firewall registriert und abgewehrt. (APA, 10.2.2023)