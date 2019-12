An der Justus-Liebig-Universität in Giessen, rund eine Fahrstunde nördlich von Frankfurt, herrscht derzeit der digitale Ausnahmezustand. Oder eben gar kein digitaler Zustand, denn am 10. Dezember wurden die Server der Uni abgeschaltet. Grund ist ein Befall mit Schadsoftware, vermutlich Trojanern. Seither ist der gesamte Campus offline.

Was für die Studierenden zuerst noch ein willkommener Ausbruch aus dem Lernalltag war, hat sich mit zunehmender Dauer des Ausfalls zu einer nervigen Angelegenheit entwickelt. Zwar wissen sich die meisten mit mobilen Netzwerken und Chatgruppen zu helfen, auch über soziale Medien wie Twitter werden Infos oder Stundenplanänderungen weiterverbreitet. Und Lerngruppen treffen sich nun wie früher an einem Tisch in der Mensa anstatt online.

Doch viele Studierende sind auch stark eingeschränkt. Allen voran die Absolventen, welche keinen Abschlussnachweis erhalten und somit beim Bewerbungsverfahren eingeschränkt sind. Wer kein unlimitiertes Datenguthaben auf seinem Handy hat und auf das Uni-WLAN angewiesen ist, sieht sich plötzlich tagelang vom World Wide Web abgetrennt.

Gerade für ausländische Studierende ein nerviger Zustand, wie die «Zeit» in einer Reportage aus der Offline-Welt berichtet: In den Wohnheimen gibt es kein Internet mehr und somit auch keinen Kontakt zur Heimat – und keine Ablenkung durch Netflix.

Zettelsystem und Hellraumprojektoren

Es wäre demnach immerhin eine gute Gelegenheit, um ohne Ablenkung zu lernen und Arbeiten zu schreiben. Sofern man die dafür notwendige Literatur schon hat. Denn auch die Bibliotheken sind digitalisiert, eine Ausleihe ohne Internet ist nicht möglich. Als absehbar wurde, dass der Ausfall länger dauert, haben Mitarbeitende deshalb im Archiv gewühlt und ein altes Zettelsystem aus der Versenkung geholt.

Wir haben unsere guten alten Ausleihzettel herausgeholt und ab diesem Mittwoch bis zur Feiertags-Schliessung können Bücher in der UB und den 4 Zweigbib. ausgeliehen werden. Der Rückgabetermin für diese Bücher ist der 20.1.20. #JLUoffline @jlugiessen pic.twitter.com/NZsQG2G0XA — UB Giessen (@ubgiessen) 17. Dezember 2019

Auch die Dozierenden haben einen alten Klassiker aus dem analogen Zeitalter entstaubt. Weil nicht definitiv klar ist, mit was für einer Schadsoftware es die Uni Giessen zu tun hat und wie diese die Systeme infiziert, werden derzeit auch Beamer nicht genutzt.

Stattdessen kommen teilweise Hellraumprojektoren zum Einsatz. Im Vorteil sind dabei jene Dozierenden, welche noch wissen, wie man die Folien dazu druckt – und wohl auch noch über einen nicht internetabhängigen Drucker verfügen.

Die Universität will ab dieser Woche zumindest wieder E-Mail-Verkehr anbieten können. Nach dem Angriff auf ihre Systeme müssen dafür aber alle Passwörter geändert werden. Die Nutzer müssen das neue Passwort dazu persönlich abholen, aus Sicherheitsgründen erhalten sie dieses nur gegen das Vorzeigen eines Ausweises.

Die Uni verfügt über rund 26'000 Studierende und 5600 Mitarbeitende. Der gesamte Vorgang dauert deshalb eine Woche und wird nach Geburtsdatum geregelt. Im Januar Geborene konnten ihr neues Passwort bereits am Montag abholen, im Dezember Geborene müssen sich bis Freitag gedulden. Deutsche Medien berichten, dass sich vor den Abgabestellen lange Schlangen bildeten.

Ein Update zu #jluoffline. Hab mal hochgerechnet: Wenn die Ausgabe pro Pin-Brief 1½ Minuten dauert können 40 Studis/h versorgt werden. 600 müssen es sein, es sind also allein 15 Leute notwendig die die Studis versorgen – plus Mitarbeiter. Bei 2 Minuten pro Studi sinds schon 20. pic.twitter.com/hODrD6U9w9 — Blebbi (@Blebbi) 16. Dezember 2019

Bis wann die Universität wieder online ist, steht derzeit noch in den Sternen. Die Studierenden freuen sich nun auf die Weihnachtsferien – mit Ausnahme jener, die ohne Internet im Wohnheim bleiben müssen. Die Sicherheitsabteilung der Uni sucht derweil fieberhaft nach der Ursache und der Lösung des Problems.

Uni Zürich wappnet sich

Die Universität Zürich, mit über 26'000 Studierenden die grösste Hochschule der Schweiz, bereitet sich auf einen Ausfall von Teilen oder der gesamten Informatik wie in Giessen vor. Man sei täglich und zunehmend mit Security-Attacken konfrontiert, antwortet der Medienbeauftragte Kurt Bodenmüller auf Anfrage. «Die Universität Zürich unternimmt dagegen eine Vielzahl von organisatorischen und technischen Sicherheitsmassnahmen, um diese zu verhindern, zu entdecken und die Auswirkungen zu begrenzen.»

Eine absolute Sicherheit gebe es aber nicht, man könne nur die denkbaren Sicherheitsrisiken reduzieren, erklärt Bodenmüller. «Hacker-Angriffe werden immer raffinierter und gezielter – es ist ein ständiger Wettlauf zwischen Angriffen und Sicherheitsmassnahmen». Die Uni Zürich setzt neben der Notfallplanung auf mehrere Mittel wie Netzwerk-Zonierung, Firewalls, Monitoring, Scans, externe Audits und regelmässige Back-ups.

Es könne trotzdem jede Organisation treffen, die digitale Systeme verwendet, das zeigten zahlreiche Beispiele weltweit – aktuell ist beispielsweise die ganze Stadt New Orleans in den USA von einem ähnlichen Ereignis betroffen. «Da ein modernes Studium heute viele digitale Systeme und Mittel nutzt, wäre der Studienalltag durch ein solches Ereignis stark eingeschränkt», weiss Bodenmüller. «Die Verfügbarkeit von elektronischen Dokumenten, eLearning und auch die Durchführung von Vorlesungen, Übungen und e-Assessments, die elektronische Medien nutzen, wären betroffen.» Möglich wäre aber, dass Vorlesungen oder Seminare klassisch, also ohne elektronische Mittel, durchgeführt werden könnten.

Schweiz warnt vor Trojaner

Das IT-Fachportal Heise Online, von welchem ein Virenscanner in Giessen im Einsatz ist, vermutet, dass es sich beim Eindringling in das System um «Emotet» handelt. Erst Ende Oktober warnte in der Schweiz der Nachrichtendienst des Bundes (NDB) über die Melde- und Analysestelle Melani vor dem Trojaner. So werde dieser «häufig via E-Mail mit einem verseuchten Link oder Anhang verbreitet», heisst es im Halbjahresbericht 2019, der Ende Oktober veröffentlicht wurde. Wenn jemand in einem Unternehmen unbedarft darauf klicke, installiere sich «Emotet» auf dessen Computer und sende wiederum E-Mails an die dort vorhandenen Kontakte, um sich weiterzuverbreiten, schreibt die Meldestelle im Kapitel «Aktuell besonders aktive Ransomsoftware».

«Emotet» dient demnach als Einfallstor für «Ryuk» und kann diese auf dem System installieren. Davor wird gemäss NDB mit einem «Trickbot» analysiert, ob es sich um eine Privatperson oder ein Unternehmen handelt. «Ryuk» legt dann die Server und Systeme lahm, und es werden «exorbitante Lösegelder» gefordert. Stadtverwaltungen in den USA hätten bis zu 600'000 Dollar zahlen müssen, um wieder Zugriff auf ihre Daten zu erhalten.

Zürcher Spital betroffen

Auch in der Schweiz gab es schon erfolgreiche Angriffe mit «Emotet» und «Ryuk», wie es im Melani-Bericht heisst. Das Einfallstor war ein per E-Mail gesendetes Word-Dokument, welches über Makro-Funktionen «Emotet» installierte. In der Folge wurden auch «Trickbot» und «Ryuk» heruntergeladen, und zwei Tage später funktionierten die Systeme einer Büroartikel-Firma nicht mehr, beschreibt der Bericht ein Beispiel. Auch im Baugewerbe, im öffentlichen Verkehr und in der Industrie gab es gemäss Melani solche Vorfälle.

Das Online-Portal Watson berichtet zudem, dass auch das Spital Wetzikon im Zürcher Oberland mit «Emotet» angegriffen wurde. Offenbar mussten danach medizinische Geräte vorübergehend aus dem Verkehr gezogen werden, Patienten waren aber gemäss Verantwortlichen des Spitals nie in Gefahr. Schlimmeres wurde womöglich verhindert, weil in Wetzikon im März 2019 ein neues IT-Sicherheitskonzept eingeführt wurde.

Empfohlene Sicherheitsmassnahmen

Der Angriff mit «Emotet» und «Ryuk» dient allerdings nicht nur zur Lösegeldforderung, die Daten der betroffenen Firmen werden auch ausgelesen und danach auch weiterverkauft. Melani empfiehlt, den Schutz des Netzwerks hochzuhalten, denn Kriminelle seien typischerweise opportunistisch. Wenn der Aufwand zu gross sei und sich innert nützlicher Frist kein Erfolg einstelle, lohne sich das Ziel nicht, und die Hacker zögen weiter.

Melani empfiehlt zum Schutz vor solcher Schadsoftware neben einem Anti-Virus-Programm auch regelmässige Sicherheitskopien der Daten auf externen Festplatten, sofortige Updates der Programme und Apps auf dem Computer sowie das Blockieren von gefährlichen E-Mail-Anhängen, wie Office-Dokumenten mit Makros.