1. Gießener Allgemeine
  2. Gießen

Nach Hackerangriff auf Uni Gießen: Nun hat Schadsoftware einen Namen - Noch Schlimmeres verhindert?

KommentareDrucken

Das Sommersemester an der Uni Gießen soll ohne Präsenzlehre starten.
Im Hauptgebäude der Uni Gießen herrscht Anspannung nach dem mutmaßlichen Hackerangriff. © Schepp/Archiv

Die Uni Gießen wurde gehackt. Aktuell ist die Hochschule offline. Von einem "schwerwiegenden IT-Sicherheitsvorfall" ist die Rede. Studenten schieben Frust. Auch Endgeräte der Beschäftigten könnten betroffen sein.

Update, 19.12.2019, 17.21 Uhr: Die Schadsoftware, die die Uni Gießen weitgehend lahmgelegt hat, hat einen Namen: Die zuständige Generalstaatsanwaltschaft Frankfurt teilt mit, dass bei dem Sicherheitsvorfall an der JLU eine Schadsoftware namens "Ryuk" zum Einsatz gekommen sei. Weitere Details könnten wegen der laufenden Ermittlungen nicht mitgeteilt werden.

Uni Gießen offline: Daten nicht zwangsläufig betroffen

Seit dem 8. Dezember ist die Universität vom Netz getrennt. Wie Vizepräsident Michael Lierz im Senat am Mittwoch mitteilte, habe die Uni selbst diesen Schritt aus Sicherheitsgründen unternommen, nachdem eine neue, komplexe Form einer Schadsoftware entdeckt worden war. "Es gibt Hinweise, dass wir damit Schlimmeres verhindert haben", betonte er, "und damit die Angriffswelle unterbrochen haben." Positiv sei, dass der Schaden – ein möglicher Datenverlust – nicht so hoch sei wie befürchtet. Er sagte, betroffen von der Schadsoftware seien einzelne Serversysteme der JLU, "aber Daten nicht zwingend".

Worum handelt es sich bei "Ryuk" konkret? Ist ein Computer mit einer Schadsoftware wie "Emotet" infiziert, kann weiterer Programmcode nachgeladen - etwa "Ryuk" werden. Es quasi eine Tür geöffnet. So können die Kriminellen letztlich sensible Daten abgreifen oder sogar die vollständige Kontrolle über das System erlangen, warnt das BSI auf seiner Website.

Derweil haben Studenten der Uni Gießen eine Hymne zu #JLUoffline geschrieben. Mit einem großartigen Text. Humor ist, wenn man trotzdem lacht...

Update, 18.12.2019, 14.04 Uhr: JLU-Präsident Jaybrato Mukherjee hat weitere Informationen zu #JLUoffline herausgegeben. Demnach ist ein Angriff von außen bestätigt. Dennoch ging bisher kein Erpresserschreiben ein. 

Weiter wird es Wochen dauern, bis ein Basisschutz herstellt ist. Das Thema E-Mails hat dabei erste Priorität. Doch auch im Januar wird der Vorfall nicht komplett abgehakt sein: "Es wird Monate dauern, bis wir da sind, wo wir vor dem Ereignis waren", erklärt Mukherjee. Und das, obwohl die Uni-Mitarbeiter an Weihnachten durcharbeiten werden. Erholsamkeit? Das sei kein Begriff, den der Präsident der Uni Gießen dieses Jahr mit Weihnachten verbinden werde.

Vizepräsident Michael Lierz sagte später im Senat: "Wir konnten mit der Abschaltung eine Angriffswelle unterbrechen."

Uni Gießen offline: Auch Katholische Hochschule Freiburg lahmgelegt

Derweil hat ein Hackerangriff auf die Katholische Hochschule Freiburg lahmgelegt. Am Dienstagmittag habe man das Problem bemerkt und dann die hochschuleigenen Systeme wie Portale, Plattformen und Netzwerke abgeschaltet. Wie hoch und weitreichend der Schaden für die Katholische Hochschule Freiburg ist, lässt sich aktuell noch nicht genau sagen. Mitarbeiter wurden in den Urlaub geschickt. Bei der Schadsoftware soll es sich um den Trojaner "Emotet" handeln. Dieser wird auch im Gießener Fall vermutet. 

Update, 11.12.2019, 15.08 Uhr: Spannender Hinweis auf Twitter an Gießener Studenten. Ein Nutzer hatte einen Trick geteilt, über den Mailadressen, Telefonnummern und mehr auch online gefunden werden können, während die Website der Uni Gießen offline ist. 

Uni Gießen: Website offline - Mit Trick an Mailadressen und Telefonnummern

Über das "Internet Archive" können frühere Zwischenstände von Websites aufgerufen werden. Das funktioniert auch mit www.uni-giessen.de. Damit lassen sich etwa die Seiten von Dozenten, Sekretariaten und mehr öffnen. Nicht der letzte Stand der Seite, auch interaktive Elemente wie die Suchfunktion führen ins Nichts. Doch zum Suchen von Kontaktmöglichkeiten ist der Trick hilfreich. 

Hier erreichen Sie die Website der Uni Gießen beim Stand vom 6. November 2019. Inzwischen hat die Uni Gießen auf diese Möglichkeit auch auf der Übergangs-Homepage hingewiesen. 

Derweil hat die JLU alle Lehrenden für Montag, 12.15 Uhr bis 14 Uhr, zu einer Dienstversammlung in die Aula des Hauptgebäudes eingeladen. Bei der dienstlichen Zusammenkunft soll das weitere Verfahren rund um die "aktuelle Krise", wie es bei der Uni Gießen heißt, Thema sein. Lehrveranstaltungen in diesem Zeitraum entfallen nach Angaben der Hochschule, "Studierende sind folglich für diesen Zeitraum von Anwesenheitspflichten entbunden."

Update, 10.12.2019, 16.25 Uhr: Die Uni Gießen hat weitere Details zum mutmaßlichen Hackerangriff auf die Hochschule bekanntgegeben. Demnach hat es die JLU "offenbar mit einer bislang unbekannten Variante einer Schadsoftware" zu tun. Dem Vernehmen nach könnte es noch über Wochen zu Einschränkungen kommen. 

Uni Gießen: Auch Endgeräte der Beschäftigten könnten betroffen sein

Auch für Mitarbeiter könnte das Folgen haben: "Nach aktuellem Kenntnisstand können auch Windows-basierte Endgeräte der Beschäftigten von der Schadsoftware betroffen sein", heißt es bei der Uni Gießen. Das weitere Vorgehen dazu soll am Mittwoch gegenüber den Beschäftigten kommuniziert werden. 

Nach derzeitigem Kenntnisstand der JLU sind Studierende mit ihren Endgeräten nicht betroffen.

Uni Gießen: Nach #JLUoffline Entgegenkommen gegenüber Studenten

Mit Blick auf die Auswirkungen von #JLUoffline heißt es bei der Uni Gießen: "Die JLU wird in den kommenden Tagen sicherstellen, dass ihren Studierenden aufgrund der aktuellen Situation keine Nachteile – etwa wegen verpasster Fristen – entstehen. Geplant ist, entsprechende Bescheinigungen für Prüfungsämter etc. auszugeben."

Derweil ist weiterhin zwischen 7.30 Uhr und 18 Uhr die Krisen-Hotline 0641 99-10500 zu erreichen. Ein Experte spricht über Hintergründe des mutmaßlichen Hackerangriffs auf die JLU

Update, 10.12.2019, 14.09 Uhr: »JLU offline – auch wir sind betroffen.« Nicht nur in der Uni-Bibliothek wird man an diesem Montag von handgeschriebenen Botschaften empfangen. Mit Filzstift auf Papier informiert eine Mensa über das Essensangebot und das Hochschulrechenzentrum über den Grund für die schwarzen Bildschirme: »Außer Betrieb.« An der Stechuhr im Uni-Hauptgebäude hängt eine Mitteilung, die der Chefhausmeister ausgedruckt hat – zu Hause. 

Uni Gießen: Studenten-Frust über Hackerangriff - Fristen werden verlängert 

Die Justus-Liebig-Universität befindet sich im Notbetrieb – und merkt, »wie abhängig man von der Technik ist«. Das sagt eine Dozentin, die heute in der Vorlesung auf ihre Power-Point-Präsentation verzichten muss und ratlos auf den Dienstag blickt. »Ich hoffe, dass ich aus dem letzten Wintersemester noch Unterlagen habe. Die sind nicht aktualisiert, aber es würde gehen.« Die Kolleginnen und Kollegen hätten dasselbe Problem: Aus Sicherheitsgründen dürfen sie private Rechner nicht im Uni-Netzwerk nutzen. Lehrunterlagen, Forschungsergebnisse, Noten, E-Mail-Verkehr sind nicht greifbar. 

Frust herrscht auch bei Studierenden. »Ich komme nicht an die Materialien, die ich brauche, um in meiner Freistunde Übungen und Aufgaben zu erledigen«, erklärt ein Student in der Cafeteria des Hochschulrechenzentrums. Andere haben noch größere Sorgen. »Ich werde am Freitag exmatrikuliert, wenn ich nicht eine Bestätigung des Prüfungsamtes vorweise, dass ich einen B.A. an der JLU erhalten habe. Diese Situation haben mehrere«, erklärt ein Student auf Facebook. Eine Uni-Sprecherin beruhigt ihn: »Durch den aktuellen Vorfall sollen niemandem Nachteile entstehen, da wird sich sicher eine Lösung finden lassen. Die Verlängerung von Fristen ist grundsätzlich möglich.« Eine weitere Frage, die viele betrifft: Sollte man Geräte oder USB-Sticks, die am Wochenende mit dem JLU-Netz verbunden waren, vorerst besser nicht nutzen? 

Uni Gießen: Nach Offline-Tag sollen Aufgaben geklärt werden

Die Pressestelle gehört zu den Abteilungen, in denen an diesem Montag hektisch gearbeitet wird. Die Mitarbeiterinnen tippen von Hand E-Mail-Adressen ab und beantworten die zahlreichen Medienanfragen zunächst über einen privaten Account. Andere Bedienstete müssen mehr oder weniger unfreiwillig Däumchen drehen. Einer berichtet auf Facebook: »Der Versuch, den Schreibtisch aufzuräumen, scheitert daran, dass alle handschriftlichen Notizen eine digitale Weiterarbeit erfordern. Solche Momente machen klar, wie allumfassend die Digitalisierung bereits ist.« Die Uni-Leitung will möglichst bald klären, wer welche Aufgaben übernehmen kann. 

Bereits am Sonntag verbreitete sich unter Mitarbeiterinnen und Mitarbeitern die Handy-Nachricht: »Morgen im Büro keinen PC anmachen!!! Auch keinen Laptop!!! Nichts tun und auf neue Infos warten!« Andere hörten im Radio von dem Systemstopp, etwa eine Angestellte der Uni-Bibliothek. Dort sind Ausleihen ebenso wenig möglich wie Reservierungen. Doch die Stimmung hinter dem Tresen ist entspannt. »Wir dachten eigentlich, wir hängen den ganzen Tag am Telefon. Aber offenbar wissen die Studierenden durch die sozialen Netzwerke Bescheid. Die haben eben doch ihr Gutes«, meint die Mitarbeiterin. Und auch sie stellt nachdenklich fest, welch große Rolle der Computer im Arbeitsalltag spielt. 

Uni Gießen: Kein Internet in größeren Wohnheimen

Weitgehend Normalbetrieb herrscht in den Mensen. »Wir haben allerdings Ausfälle beim Speiseleitsystem«, erklärt Eva Mohr, Sprecherin des Studentenwerks. In sämtlichen größeren Wohnheimen gebe es kein Internet. Verwaltung und Beratung seien in Gießen, Friedberg und Fulda teilweise lahmgelegt. Eine digitale Notversorgung sei in Arbeit.

Erstmeldung, 9.12.2019, 14.03 Uhr: Große Probleme an der Uni Gießen: Am Montagmorgen ist die Justus-Liebig-Universität offline. In einem ersten Statement war von einem "schwerwiegender IT-Sicherheitsvorfall" die Rede. 

Bei der Uni Gießen wird inzwischen ein Angriff von Hackern vermutet. Die Staatsanwaltschaft Frankfurt hat nach Angaben der Polizei übernommen. Zur genauen Ursache der Probleme können - auch mit Blick auf die nun laufenden Ermittlungen - bislang keine Angaben gemacht werden. Von einer Straftat wird ausgegangen. Es sollte Strafanzeige gestellt werden. 

Uni Gießen: Mail, Website und andere Dienste offline

Die JLU meldete bereits in der Nacht: "Die Universität arbeitet mit Hochdruck daran, das Ausmaß des Schadens, die genaue Ursache und die aktuellen Handlungsmöglichkeiten zu ermitteln, und steht dazu im Kontakt mit den Behörden."

Joybrato Mukherjee hat sich inzwischen ausführlich zu dem Vorfall zu Wort gemeldet. Er sagt: "Unter anderem haben auch die Darmstädter Kollegen, die ja wirklich auch sehr viel Kompetenz haben, ihre Unterstützung angeboten, die wir gerne in Anspruch nehmen." Gemeint ist das Darmstädter Forschungszentrums für Cybersicherheit Athene.

Uni Gießen: Offline seit der Nacht - Strafanzeige gestellt

Insbesondere im Verwaltungsnetz der JLU sind die Rechner-Arbeitsplätze derzeit nicht nutzbar. Die Uni Gießen will daher intern entscheiden, welche Mitarbeiter in der aktuellen Situation welche Aufgaben übernehmen können. "Der Lehr- und Forschungsbetrieb wird planmäßig fortgeführt", heißt es bei der Uni Gießen.

Ein Krisenstab mit JLU-Präsidium und Rechenzentrum wurde gebildet. 

Uni Gießen: Temporäre Website soll kommen

Als Konsequenz des Vorfalls ist die Uni Gießen vom Internet getrennt. Sowohl Website, als auch Mailserver und andere Dienste wie StudIP oder FlexNow sind offline und stehen nicht zur Verfügung. Auch die Uniklinik, das UKGM, ist in geringem Maße betroffen. 

Ebenso die Universitätsbibliothek: Bücher können nur an dem Standort zurückgegeben werden, an dem sie ausgeliehen wurden.

Die Schaltung einer Telefonnummer für Rückfragen ist nach Angaben der Uni Gießen geplant. Offiziell heißt es inzwischen: "Unter der Webadresse www.uni-giessen.de wird ab dem Nachmittag des 9. Dezember 2019 eine temporäre Ersatz-Webseite mit aktuellen Informationen geschaltet. Für Rückfragen von Nutzerinnen und Nutzern wird ab 14 Uhr unter der Nummer 0641 99-10500 eine Hotline zur Verfügung stehen."

Uni Gießen: Keine W-Lan in großen Wohnheimen

An der Uniklinik ist die Homepage nicht abrufbar. Die Kollegen, die in der Forschung tätig sind, sind über ihre universitäre Mailadresse nicht erreichbar, wohl aber über ihre UKGM-Adresse. Wichtig: Die Patientenversorgung ist von den Auswirkungen des "schwerwiegenden IT-Sicherheitsvorfalls" nicht betroffen. Auch Patientendaten sollen nicht in Gefahr sein. 

Auch das Studentenwerk ist teilweise betroffen. Während der Betrieb in den Mensen laufen soll, ist in den großen Wohnheimen offenbar das W-Lan lahmgelegt. 

Uni Gießen: Mail, Website, Flexnow offline - Großes Thema in Sozialen Medien

Auch in den Sozialen Netzwerken ist das der "schwerwiegende IT-Sicherheitsvorfall" ein großes Thema: "Egal wie beschissen euer Montag ist, seid froh gerade keine ITler an der JLU zu sein", schreibt etwa jemand auf Twitter. Auf Facebook werden ganz persönliche Probleme aufgeworfen: "Die Bibliothek ist ebenfalls vom Netz, dadurch kann ich nicht verlängern, muss ich Mahngebühren zahlen? Frist ist heute."

Auch bei der Stadt Frankfurt wurde 24 Stunden war die digitale Infrastruktur lahmgelegt. Wir haben mit einem IT-Sicherheitsexperten gesprochen, wie er die Situation beurteilt.

fd/khn/red

Auch interessant

Kommentare