Hamburg. Die HAW und die Friedhöfe sind prominente Beispiele. Zahlen steigen deutlich, Datenschützer warnt: “Neue Qualität“ bei Angriffen.
Der Montag wird zum Tag der Wahrheit für die Studentinnen und Studenten sowie das wissenschaftliche und sonstige Personal der Hochschule für Angewandte Wissenschaften (HAW) in Hamburg. Der Lehrbetrieb soll nach dem großflächigen Hackerangriff auf die technische Infrastruktur „in Präsenz“ weitergehen. Türen zu Hörsälen und Räumen sowie Bibliotheken sind geöffnet. Das ist nicht selbstverständlich. Denn auch die Schließsysteme waren von der Cyberattacke betroffen.
Die schriftlichen und mündlichen Prüfungen sollen wie geplant stattfinden. Die Hausarbeiten sowie Bachelor- und Master-Arbeiten bekommen zunächst drei Wochen Verlängerung.
Hinter all den Bemühungen des Krisenstabes um ein Wiederhochfahren der IT-Systeme stecken große Fragezeichen. Denn wie sind die Laptops von Professorinnen und Professoren sowie anderen Mitarbeitern betroffen? Sind sie von Viren befallen? Hat sich der Wurm in etliche Rechner gefressen, die am System der HAW hingen? Dazu müssen vermutlich alle Mobilgeräte, die von der HAW „administriert“ wurden, auf Sicherheitslücken und Eindringlinge untersucht werden.
Hackerangriff auf Hamburger HAW: LKA ist eingeschaltet
Das Landeskriminalamt hat seine Spezialisten in Bewegung gesetzt. Cyberangriffe sind kein Kavaliersdelikt. Ob eine Computer-Attacke als rein verwirrungsstiftende Aktion dahintersteckt oder eine Datenisolierung und Lösegeld-Erpressung, das ist noch unklar. Auch über den mutmaßlichen Absender gibt es noch keine Informationen.
Die Hochschule erklärte aber bereits, dass der Weg der Hacker von „dezentralen IT-Systemen“ ins Netzwerk geführt habe und von dort weiter in die „zentralen IT- und Sicherheitskomponenten der HAW“. So gelangten sie an Administratorrechte. Damit ausgerüstet, machten sie sich daran, Daten zu verschlüsseln und Sicherungskopien (Backups) zu löschen. „Wir müssen davon ausgehen, dass unter den abgeflossenen Informationen auch personenbeziehbare Daten sind“, so die HAW.
Hamburgischer Datenschutzbeauftragter: So stieg die Zahl der Attacken
Der Hamburgische Datenschutzbeauftragte wurde ebenfalls alarmiert. Thomas Fuchs sagte dem Abendblatt: Zwar beobachte seine Behörde keine „Welle“, also keine „signifikante Zunahme von Cyberangriffen in den letzten Monaten“. Die Zahl der Angriffe bewegten sich im Jahr 2022 jedoch auf einem sehr hohen Niveau, das in den vergangenen Jahren „kontinuierlich gestiegen“ sei. Von 74 gemeldeten Fällen im Jahr 2019 auf 156 (2020), 196 (2021) und im vergangenen Jahr 227. Fuchs sagte: „Es ist dabei auffällig, dass es in den letzten Monaten mehrfach massive, also in den Folgen sehr weitreichende Angriffe auch auf öffentliche Stellen gegeben hat.“
Der Datenschutzbeauftragte hat wichtige Hinweise für potenziell betroffene Organisationen: Hinweise auf Datenabflüsse oder Unregelmäßigkeiten in den IT-Systemen sollten ernst genommen und intern an die Verantwortlichen kommuniziert werden. Wer betroffen ist, sollte spezielle IT-Forensiker hinzuziehen. Eine Meldung an den Datenschutzbeauftragten und die Ansprechstelle Cybercrime im LKA solle abgesetzt werden. Dabei müsse niemand fürchten, „bestraft“ zu werden. Besonders wichtig: Kunden, Mitarbeiter und Geschäftspartner müssen früh von einem Angriff erfahren. Auch erste Erkenntnisse sollten mit ihnen geteilt werden.
HAW-Hack: Qualität der Angriffe nimmt zu
Dies ist der HAW nach dem Angriff offenbar gelungen. Nachdem per Mail und Homepage keine Information möglich war, hat man immerhin einen Teilbereich des Internetauftritts mit einem Fragen- und Antwortenkatalog bestücken können und die sozialen Medien für einen Alarm an Studierenden und Personal genutzt.
Hamburgs oberster Datenschützer Fuchs erinnerte an die Richtlinien, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben habe. Daran solle man sich orientieren. „Unser Eindruck ist, dass die ,Qualität‘ der Angriffe zunimmt, es sich um offensichtlich gut vorbereitete Angriffe handelt, die tief in die Systeme eindringen und zu weitreichenden Schäden führen, deren Behebung sich teilweise über Monate hinziehen kann.“
- Cyberangriff auf HAW: Erste Entscheidungen im Krisenstab
- Friedhöfe in Hamburg müssen altmodisch per Fax kommunizieren
- Schon jede vierte Firma in Hamburg Opfer von Cyberattacken
Die Wissenschaftsbehörde war ebenfalls früh in den HAW-Hack einbezogen. Auf der Kultusministerkonferenz waren Cyberangriffe bereits ein Thema. Mitte November legte ein Angriff die Universität Duisburg-Essen lahm. Dort rechnete man mit mehreren Monaten, bis alles wie gewohnt laufe. Bis Weihnachten hatte erst ein Drittel der Professorenschaft oder Studierenden die Passwörter geändert. Ein zweiter Angriff hatte auch die Behelfsseite im Internet betroffen. Anfang November war die Hochschule Heilbronn Opfer einer Cyberattacke, kurz vor Weihnachten erwischte es die Westsächsische Hochschule in Zwickau.
Friedhof Ohlsdorf: Auch Schließsystem nach Hackerangriff betroffen
Bei den angegriffenen Hamburger Friedhöfen läuft es halbwegs wieder. Allerdings dauere die Arbeit im Hintergrund fieberhaft an, sagte ein Sprecher. Alle Bestattungen finden statt. Der E-Mailverkehr laufe in Teilen wieder. Glücklicherweise seien weder Kunden- noch Mitarbeiterdaten abgeflossen. Doch die Schließsysteme müssen umgestellt werden. Das betreffe auch die Schranken am Friedhof Ohlsdorf sowie die Gebäude Hunderter Mitarbeiter.
Der Hamburger Verfassungsschutz wies darauf hin, dass Cyberkriminalität von der Polizei verfolgt werde. Die Grundgesetzhüter schreiten aber ein, wenn es um Spionage oder Sabotage von staatlichen, nachrichtendienstlichen oder extremistischen Absendern geht. Verfassungsschutzsprecher Marco Haase sagte dem Abendblatt: Schon das BSI habe festgestellt, dass „die Bedrohung im Cyberraum aktuell so hoch ist wie nie zuvor“. Haase sagte, bei den Angriffen auf Politik und Verwaltung habe man vor allem APT-Gruppierungen im Blick, eine Bedrohung namens „advanced persistent threat“. Gleichzeitig gehe Cyberspionage möglicherweise einher mit persönlichen „Anbahnungsversuchen“ über soziale Netzwerke. Sollten sich bei den Attacken in Hamburg Hinweise auf Urheber im staatlichen oder extremistischen Umfeld ergeben, steige der Verfassungsschutz in die Fälle mit ein.
Verfassungsschutz: Warnungen an die Wirtschaft
Das Bundesamt für Verfassungsschutz hatte erst Anfang Dezember in einem „Sicherheitshinweis für die Wirtschaft“ auf den notwendigen Schutz vor Cyberspionage hingewiesen und die kritische Infrastruktur im Blick, also auch Verkehrswege und Leitungen. Bei der Bahnsabotage im Oktober hatte das eine große Rolle gespielt. Die Verfassungsschützer warnten: „Veröffentlichungen, die frei im Internet abrufbar sind, bieten häufig sehr detaillierte Informationen. Das gilt zum Beispiel für Präsentationen, die sich ursprünglich an Behörden und Marktteilnehmer richten, aber auch für Kartenmaterial, das Standorte von Anlagen oder Trassenverläufe abbildet.“
Die Bundesnetzagentur bietet zum Beispiel im Internet eine Fülle von Daten über Glasfaserleitungen, Rohre und Netzzugangspunkte. Dafür muss man sich freischalten lassen. Es genügt jedoch der Nachweis, dass man für ein Unternehmen der Branche oder die Verwaltung arbeitet. Der NDR berichtete, dass für Schleswig-Holstein etliche Informationen über die Energieversorgung, Windräder und Pipelines frei zugänglich seien.