Ruhr-Uni: Hacker wollten von Hochschule Lösegeld erpressen

Leere statt Lehre an der Ruhr-Uni Bochum: Wegen des Coronavirus' ruht der Unibetrieb, zudem legte ein Hackerangriff die Computersysteme lahm.  © FUNKE Foto Services | Olaf Ziegler

Bochum/Jülich. Auch die Jülicher Superrechner sind nach Angriff noch nicht wieder am Netz. Experten für Cybercrime haben jetzt die Ermittlungen übernommen

Der Hackerangriff auf die zentralen IT-Systeme der Ruhr-Uni Bochum hatte offenbar das Ziel, Lösegelder zu erpressen. Dies deutete Uni-Rektor Axel Schölmerich an. „In den letzten Jahren sind viele Institutionen Opfer von Angriffen mit Verschlüsselungssoftware geworden. So ein Angriff hat nun auch uns getroffen“, so Schölmerich. Die Angreifer hätten ihr Ziel aber nicht erreicht: „Wir lassen uns von niemandem erpressen.“ Wann die Computersysteme wieder einsatzfähig sein werden, ist noch nicht klar.

Auch die Superrechner am Forschungszentrum Jülich (FZJ) sind nach einer Hackerattacke weiterhin nicht am Netz. „Wir hoffen, dass der Nutzerbetrieb in der nächsten Woche wieder aufgenommen werden kann“, sagte eine Sprecherin des FZJ dieser Redaktion.

Wegen der „herausragenden Bedeutung“ der Vorfälle hat die Zentral- und Ansprechstelle Cybercrime NRW (ZAC) bei der Staatsanwaltschaft Köln in beiden Fällen die Ermittlungen übernommen. „Es gibt bislang keinen Hinweis darauf, ob beide Verfahren miteinander zusammenhängen“, sagt Staatsanwalt Christoph Hebbecker dieser Redaktion. Die Ermittlungen dauerten an, es müssten sehr große Datenmengen ausgewertet werden.

Staatsanwaltschaft will in einigen Wochen Ergebnisse vorlegen

Im Fall der Bochumer Uni zeigte sich Hebbecker zuversichtlich, das Verfahren bereits in drei bis vier Wochen abschließen zu können. „Hier werden wir schneller zu einem Abschluss kommen als in Jülich.“ Das bedeute aber nicht, dass man Täter präsentieren oder Hintermänner ausfindig machen könne. Oft könnten die Angreifer nicht identifiziert werden, es handle sich meist um hochprofessionelle Täter, die sich anonym im Netz bewegen könnten.

Die Ermittler beobachten insgesamt eine zunehmende Professionalisierung der Hacker, die zudem nicht selten in mehreren Gruppen koordiniert und arbeitsteilig vorgehen würden. Hebbecker: „Cybercrime hat Konjunktur“, das liege auch an den enormen Gewinnspannen.

Angriff auf Rechenzentrum blieb über Monate unbemerkt

Die Jülicher Systeme im „Supercomputing Centre“ wurden bereits am 11. Mai vom Netz abgekoppelt. Die extrem leistungsfähigen Rechner können seither nicht mehr von Wissenschaftlern außerhalb von Jülich genutzt werden. Normalerweise haben rund 200 Forscherteams Zugang zu der Rechenleistung der Computer.

„Diese sehr versteckte Attacke mit einem unauffälligen Verhalten auf den Systemen kann anhand der bisherigen Untersuchungsergebnisse über einige Monate zurückverfolgt werden“, so das Forschungszentrum. Mit anderen Worten: Die Hacker sind womöglich schon Anfang des Jahres unbemerkt in das System eingedrungen.

Über die Hintergründe könne man derzeit nur spekulieren, so Staatsanwalt Hebbecker. Ob es sich bei dem Angriff auf das Jülicher Rechenzentrum ebenfalls um einen Erpressungsversuch gehandelt habe, ließ er offen. Dabei schleusen die Angreifer Verschlüsselungstrojaner in das System, die den Rechner für den Nutzer blockieren. Für eine Entsperrung wird anschließend Lösegeld verlangt.

Cyberspionage wegen Forschung an Covid-19-Wirkstoff?

Womöglich waren die Hacker aber auch auf der Suche nach bestimmten Daten. Auf den Jülicher Höchstleistungsrechnern laufen neben Berechnungen zur Klimaforschung, Hirnforschung oder Materialwissenschaften aktuell auch Simulationen, die bei der Suche nach einem Medikament gegen Covid-19 bedeutsam werden könnten. An einem solchen Wirkstoff wird weltweit unter Hochdruck geforscht.

Dass zeitgleich mehrere Rechenzentren in Deutschland ins Visier von Hackern geraten sind, hat nach Beobachtung von Staatsanwalt Hebbecker eine neue Qualität. „Es ist neu, dass gezielt Forschungszentren angegriffen werden.“ Neben den Jülicher Superrechnern sind Computer im Leibniz-Rechenzentrum in Garching bei München von einem Cyber-Angriff betroffen, außerdem in Stuttgart, Karlsruhe, Dresden und Freiburg. Auch das Bundesamt für Sicherheit in der Informationstechnik wurde eingeschaltet.

Ruhr-Uni: Die schlimmste Krise unsere Geschichte

Nach dem massiven Hackerangriff auf die Uni Bochum in der Nacht vom 6. auf den 7. Mai sind die IT-Experten derzeit damit beschäftigt, die Systeme wieder hochzufahren. Die IT-Infrastruktur werde schrittweise wieder aufgebaut. Zunächst sollen nach Angaben der Uni die wichtigsten Funktionen für die Studierendenverwaltung sowie für die Personal- und Finanzverwaltung wieder in Betrieb genommen werden. Kapazitäten für die Systeme der digitalen Lehre würden kontinuierlich ausgebaut.

Wegen der Coronakrise findet der Hochschulbetrieb in diesem Semester vor allem im Internet statt. Daher ist der digitale Zusammenbruch für die Hochschule besonders verheerend. Rektor Schölmerich: „Die Ruhr-Uni durchlebt gerade die schlimmste Krise ihrer Geschichte.“