Nachricht vom

Die Arbeiten zur Wiederherstellung der IT-Systeme an der Universität Leipzig – dem Institut für Medizinische Informatik, Statistik und Epidemiologie (IMISE), dem Zentrum für Klinische Studien (ZKS) und dem Leipziger Forschungszentrum für Zivilisationserkrankungen (LIFE) – nach dem Cyberangriff Ende September 2021 sind abgeschlossen. In der Nacht zum 29. September 2021 wurden alle windowsbasierten IT-Systeme (PC und Server) durch Ransomware verschlüsselt. Das Landeskriminalamt nahm die Ermittlungen auf, und die Aufsichtsbehörden wurden informiert. Es wurde nicht erwogen, auf die Lösegeldforderung der Hacker einzugehen.

Ein Krisenstab hatte sofort die Arbeit aufgenommen. In den betroffenen Einrichtungen wurden umgehend Sofortmaßnahmen eingeleitet und die befallenen Netzbereiche isoliert, um die weitere Verteilung von Schadsoftware zu verhindern. In den Instituten wurde die Arbeit im Notbetrieb aufgenommen, wobei man zunächst ohne die gewohnte IT-Umgebung auskommen musste.

Für die Aufrechterhaltung der Durchführung von klinischen Studien gab es Notfallpläne, die im Rahmen eines Business Continuity Managements eine Bearbeitung wichtiger Aufgaben ohne IT-Unterstützung vorsehen. Der Arbeitsalltag im Notbetrieb sowie die universitäre Lehre konnten durch Nutzung der IT-Systeme des Universitätsrechenzentrums und der Unterstützung der dortigen Mitarbeiter bewältigt werden.

Die umfangreiche Systemlandschaft des IMISE, des ZKS und von LIFE wurde durch hinzugezogene Spezialisten und IT-Forensiker überprüft, um das initiale Einfallstor sowie das genaue Schadensausmaß zu ermitteln. Deren Analyse kam zu dem Ergebnis, dass die Angreifer durch eine kurzzeitig vorhandene Schwachstelle in einer öffentlich erreichbaren Webanwendung eindringen konnten. Bereits während der Schadensanalyse wurde mit dem Wiederaufbau der IT-Infrastruktur begonnen. Kompromittierte Systeme mussten komplett neu aufgesetzt werden, eine Bereinigung mit einem Virenscanner reicht in diesem Fall nicht aus. Verschlüsselte Datenbeständen konnten aus vorhandenen Sicherungen (Backups) gerettet werden. So konnten IMISE, ZKS und LIFE bis Anfang 2022 den Normalbetrieb sukzessiv wieder aufnehmen.

Im Rahmen der Schadensanalyse wurden keine Hinweise darauf gefunden, dass durch den Angriff Daten abgeflossen sind. Patientendaten, die im Rahmen klinischer Studien verarbeitet werden, sind besonders gesichert, da sie in pseudonymisierter Form in den Datenbanken gespeichert werden. Pseudonymisiert bedeutet, dass keine Angaben, mit denen Patient:innen direkt identifiziert werden können (zum Beispiel Namen, Kontaktinformationen oder das Geburtsdatum), verwendet werden, sondern nur ein Nummern- und/oder Buchstabencode. Somit ist anhand der Daten kein Rückschluss auf die Patient:innen selbst möglich.

Durch den Cyberangriff wurde deutlich, wie abhängig der Forschungs- und Lehrbetrieb der Universität von funktionierender und sicherer Informationstechnik ist. Im Zuge des Wiederaufbaus der Systemlandschaft wurden sowohl die Infrastruktur selbst als auch die vorhandenen Sicherheitskonzepte überprüft und überarbeitet. Neben präventiven Schutzmaßnahmen ist auch die Vorbereitung auf solche Ausnahmesituationen, zum Beispiel das Notfallmanagement und Wiederanlaufpläne, Bestandteil der Sicherheitskonzepte.

Die polizeilichen Ermittlungen sind noch nicht abgeschlossen. Nach ersten Erkenntnissen wird von professionell agierenden Cyberkriminellen ausgegangen, die bundesweit mehrere Angriffe durchgeführt haben.

Kommentare

Keine Kommentare gefunden!

Ihr Kommentar

Hinterlassen Sie gern einen Kommentar. Bitte beachten Sie dafür unsere Netiquette.