Einige Bereiche des Informationsmanagement-Systems werden ab heute wieder automatisch aktualisiert.
Somit stehen dem Campus nun wieder tagesaktuelle Finanzdaten und Rauminformationen zur Verfügung.
Das für Ende der Woche avisierte System BMD und die daran angeschlossenen Kassen sind ab sofort auch wieder einsatzbereit.

Die Basissysteme für BMD und die Kassen konnten weitestgehend wiederhergestellt werden. Aufgrund der zu erwartenden Mehrwertsteueränderung muss noch ein Update eingespielt werden. Wenn dieses erfolgreich durchgeführt wurde, kann das System voraussichtlich gegen Ende der Woche wieder freigegeben werden.

Heute wurden alle Funktionsaccounts, für die das Passwort seit dem Cyberangriff noch nicht geändert wurde, wie angekündigt gesperrt. Leider konnten noch nicht alle Tickets mit Änderungswünschen zu Funktionsaccounts bearbeitet werden (z. B. die Übertragung der Verantwortlichkeit), so dass die betreffenden Accounts auch vorübergehend gesperrt wurden.
Tickets zu diesen Accounts werden jedoch weiterhin von unseren Mitarbeiter*innen bearbeitet, so dass die Anliegen zeitnah umgesetzt und die Accounts wieder entsperrt werden können.

Exchange

Exchange ist wieder verfügbar. Der Rückzug der E-Mail-Adressen und Postfächer konnte  wie angekündigt  begonnen werden. Die Synchronisation der Postfächer wird aber noch einige Zeit in Anspruch nehmen. Während dieser Zeit haben Sie auf beide Postfächer Zugriff.

SharePoint

Die SharePoint-Anwendungen Serviceportal, Fortbildungsportal sowie die Projekträume im Intranet- und Public-Bereich befinden sich in der Funktionsprüfung. Sofern nicht unerwartete Probleme entstehen, gehen wir davon aus, dass diese Anwendungen zum Ende dieser oder zum Anfang der nächsten Woche wieder zur Verfügung stehen.

Die zentralen Exchange-Server sind neu aufgebaut und die Mailboxen sind wiederhergestellt.
Am Montag, dem 22.6.2020, beginnt der automatische Rückumzug der E-Mail Adressen und der E-Mails , so dass ab dann E-Mails wieder in die Exchange- Postfächer zugestellt und über Outlook abgerufen werden können.
Auch die Kalenderfunktionenen sind dann wieder verfügbar und können wie vor dem Angriff genutzt werden.

Die Tests von Exchange sind erfolgreich abgeschlossen und der Rückzug der E-Mail-Adressen vom RUB-Mail System zu Exchange wird gemeinsam mit dem NOC finalisiert.

Im Bereich des Informationsmanagements konnte Finanzinfo wieder in Betrieb genommen werden. Der Datenstand ist aktuell vom 18.06.2020 (mittags).

Wir verlängern die Frist für die Passwortänderung von Funktionsaccounts um eine weitere Woche bis zum 23.Juni. Die Inhaber von Funktionsaccounts, die das zugehörige Passwort noch nicht geändert haben, werden wir am 18. Juni per E-Mail darüber informieren. Über das Webinterface können Inhaber von Funktionsaccounts im Bereich "Kombidienste/ Funktions-E-Mail" das Passwort zurücksetzen oder die Löschung des Accounts beauftragen.

Der Fileservice für Studierende ist jetzt online, damit stehen für unsere Studierenden nun alle zentralen IT-Systeme wieder zur Verfügung.

Exchange ist komplett neu aufgebaut worden und intern bei IT.SERVICES zum Test freigegeben.

Die Konzepte zur Wiederaufnahme der betroffenen IT-Systeme sind in dieser Woche Schritt für Schritt umgesetzt worden, es sind aber noch eine Reihe von Hürden zu überwinden. Wir danken allen Nutzer*innen für ihre Geduld und die aufbauenden Gesten, die uns auch bei der Bearbeitung der hohen Anzahl von Support-Anfragen geholfen haben.

Die SharePoint Datenbanken konnten erfolgreich restauriert werden. Wir gehen davon aus, dass kein Datenverlust besteht.

VDI

Die Virtuelle Desktop Infrastructure (VDI) steht wieder zur Verfügung. Die Thin Clients der Verwaltung können wieder genutzt werden.

Exchange

Wenn Exchange wieder zur Verfügung steht, soll der Rückzug vom RUB-Mail System möglichst nutzerfreundlich erfolgen. Insbesondere sollen E-Mails, die im Notbetrieb über das RUB-Mail System zugestellt wurden, beim Rückzug auf Exchange nicht verloren gehen. Hier wird durch das NOC ein Selfcare-Interface vorbereitet, über das die Exchange Nutzer*innen bei ihrem Rückzug vom RUB-Mail System zu Exchange unterstützt werden.

VDI

Bei der Bereitstellung der Virtuellen Desktop Infrastruktur (VDI) sind große Fortschritte erzielt worden. Die Basis-Infrastruktur ist wieder vorhanden, sodass die Desktops nach und nach wieder zur Verfügung gestellt werden können.

Exchange

Die Wiederherstellung der Exchange-Server ist weit vorangeschritten, aktuell laufen interne Tests zur Funktionsüberprüfung.

Heute wurden zum Thema Account-Sperrungen in einem gemeinsamen Kraftakt über 1.000 Tickets bearbeitet. 

Die Terminalserver (Citrix XenApp) konnten in der neuen Sicherheitsumgebung in den Betrieb genommen werden, wodurch die Basis für die baldige Bereitstellung einer Reihe von wichtigen Verwaltungssystemen geschaffen ist.

Zur Aufnahme des PC-Supports werden die gemäß dem neuen Sicherheitskonzept erforderlichen Konfigurationen im Active Directory vorbereitet.

Wie angekündigt, sind aus Sicherheitsgründen heute alle Accounts, bei denen die Nutzer*innen unserer Aufforderung vom 13.5., ihr Passwort zu ändern, nicht nachgekommen sind, gesperrt.

Aufgrund der hohen Anzahl von Tickets, die uns erreichen, bitten wir um Verständnis, dass die Beantwortung Ihrer Anfragen länger dauern kann.

Bitte beachten Sie, je kürzer wir den Prozess halten, desto schneller ist Ihr Account wieder freigeschaltet. Aus diesem Grund füllen Sie bitte das Formular zur Passwortänderung vollständig aus und senden es uns mit einer Kopie der Vorderseite Ihres Ausweises zu. Sie erhalten das neue Passwort dann per eMail/SMS.

Die neukonzipierte Domäne RUHR-UNI-BOCHUM ist wie angekündigt in den Betrieb genommen, und die Fileservices stehen wieder zur Verfügung.

Die Tests konnten heute erfolgreich abgeschlossen werden. Die neu konzipierte Domäne RUHR-UNI-BOCHUM werden wir am Dienstag im Laufe des Tages zur Verfügung stellen, ebenso die zentralen Fileservices.

Die Arbeiten, die am Vortag begonnen wurden, haben wir heute fortgesetzt. Dabei wurden die ersten Systeme in das neue Sicherheitskonzept überführt und im lokalen, geschützten Bereich getestet.

Active Directory

Die erarbeiteten Konzepte werden für die Produktivschaltung umgesetzt und Vorbereitungen für die Anbindung der Fileservices getroffen.

Active Directory

Die Provisionierung in das Active Directory aus dem zentralen Identity Management System der RUB ist erfolgreich getestet.

Active Directory:

5. Tag der Konzeptentwicklung und der Tests für das Active Directory. Die Berechtigungsstrukturen sind bereinigt, und die Vorgehensweise für den Einbau von „Brandschutzmauern“ ist vorbereitet.

Applikationsbetrieb:

Für die Mitglieder der RUB wird eine Übersicht über den jeweiligen Status der von IT.SERVICES administrierten Applikationssysteme veröffentlicht.

Notbetrieb:

Der Notbetrieb ist soweit vorbereitet, dass gemäß der Priorisierung mit den jeweiligen Ansprechpartner*innen die Konfiguration an den Not-Arbeitsplätzen vorgenommen werden kann. Im wichtigen Einzelfällen, für die z. B. Fristen bestehen, können Daten aus SharePoint und dem zentralen Fileservice extrahiert werden.

Wiederaufbau der Toplevel Domäne:

Die Maßnahmen zur Bereinigung der technischen Infrastruktur sind fortgeschritten.

Wiederaufbau der Toplevel Domäne ruhr-uni-bochum

Die Umsetzung des entwickelten Konzeptes wird in einer Sandbox-Umgebung getestet. 

Die Entwicklung des Konzepts für den Wiederaufbau des zentralen Active Directory wird fortgeführt.

Notbetrieb

Für die zentralen IT-Systeme der RUB, die vom Shutdown betroffen sind, wird ein Notbetrieb eingerichtet. Hierbei sind die Verwaltungssysteme im Bereich Studium und Lehre am höchsten priorisiert.

Wiederaufbau der Toplevel Domäne ruhr-uni-bochum

Neben der fortlaufenden Sicherheitsanalyse startet gemeinsam mit dem Expertenteam die Entwicklung eines Konzepts für den Wiederaufbau des zentralen Active Directory.

E-Mail

Auch die Nutzerinnen und Nutzer der Universitätsverwaltung sind wieder wie gewohnt erreichbar.

E-Mail

Alle Nutzerinnen und Nutzer in den Fakultäten, ZWEs und ZBEs sind wieder über ihre bekannten E-Mail-Adressen erreichbar.

Analyse der Toplevel Domäne ruhr-uni-bochum

Die Sicherheitsanalyse der Domäne ruhr-uni-bochum wird fortgesetzt, die Systeme werden offline auf Schwachstellen und Kompromittierung untersucht und bereinigt.

E-Mail

Damit die betroffenen Personen an der Ruhr-Universität möglichst schnell wieder per E-Mail erreichbar sind, kann für diese ein alternativ an der RUB eingesetztes Mail-System aktiviert werden. 

Analyse der Toplevel Domäne ruhr-uni-bochum

Auf Basis der bisherigen Ergebnisse der Forensik startet gemeinsam mit einem weiteren Expertenteam die Sicherheitsanalyse der Domäne ruhr-uni-bochum.

Passwortänderung notwendig

Wir müssen davon ausgehen, dass auch Passwörter korrumpiert wurden. Aus diesem Grund ist es sicherheitstechnisch notwendig, dass jeder Account an der Ruhr-Universität ein neues Passwort bekommt. Das bedeutet, dass alle Nutzerinnen und Nutzer ihr Passwort neu setzen müssen.

Die unterschiedlichen Handlungsoptionen wurden mit einer erweiterten Expertengruppe erörtert. Die Experten sind sich mittlerweile sicher, dass es sich um einen sogenannten "unspezifischen" Angriff handelt, hinter dem kriminelle Absichten stecken. 

Innerhalb der Logfiles der Systeme konnten Netzwerkmuster und verwendete Tools identifiziert werden. Diese Informationen werden nun dazu verwendet, weitere Angriffe zu erkennen bzw. zu verhindern.

Die Forensik hat aufgezeigt, dass der Angriff auf die zentrale Infrastruktur über ein System, das über RDP aus dem Internet offen erreichbar war, erfolgt ist. Hierüber ist es dem Angreifer gelungen, sich erhöhte Berechtigungen zu verschaffen und die Top-Level-Domäne zu kompromittieren.

Auf Basis dieser Ergebnisse wurden erste Handlungsempfehlungen formuliert. Diese wurden dann über das an der RUB eingesetzte Instant-Messaging-System Riot kommuniziert. 

Gemeinsam mit den Sicherheitsexperten von GDATA wurde die Forensik der identifizierten Systeme weiter durchgeführt. 

Aktuell gehen wir davon aus, dass über die lokalen Rechner keine Gefahr für die zentrale Infrastruktur ausgeht. Nach aktuellem Kenntnisstand sind Mac- und Linux-Systeme nicht betroffen. Die Infektion eines Windows-Systems können wir nicht ausschließen.

Es wurde festgestellt, dass in der Nacht vom 6. auf den 7. Mai 2020 ein Angriff auf die IT-Infrastruktur der RUB stattgefunden hat. Daraufhin wurde empfohlen, dass aufgrund der unklaren Situation alle vernetzten Windows-basierten Server-Systeme auch in den Fakultäten herunterzufahren sind. Aufgrund der Komplexität der Problemlage wurden ortsansässige Sicherheitsexperten von GDATA hinzugezogen.