NACH OBEN
RUB » IT.SERVICES » Servicedesk » Informationsseite zum Cyberangriff auf die RUB

Informationen zum Cyberangriff auf die RUB

In der Nacht vom 6. auf den 7. Mai 2020 musste durch einen Computerangriff ein Großteil der zentralen IT-Infrastruktur an der Ruhr-Universität Bochum (RUB) außer Betrieb genommen werden. Als Sofortmaßnahme wurden alle zentralen Server und Backup-Systeme, die betroffen sein könnten, heruntergefahren. Auf dieser Webseite erhalten Sie aktuelle Informationen rund um den Cyberangriff.


Dringend Passwortänderung erforderlich!

Aufgrund des Cyberangriffs auf die Ruhr-Universität Bochum ist es sicherheitstechnisch notwendig, dass jeder Account (RUB-LoginID) und jeder Kombidienst ein neues Passwort bekommt. Das bedeutet, dass alle Nutzerinnen und Nutzer ihr Passwort neu setzen müssen. Um dem Risiko einer Entschlüsselung von Passwörtern entgegenzuwirken, bleibt für diese Aufgabe nur kurze Zeit. Bitte ändern Sie Ihr Passwort sofort! Alle wichtige Infos dazu gibt es hier: 




Active Directory

Die Provisionierung in das Active Directory aus dem zentralen Identity Management System der RUB ist erfolgreich getestet.

Active Directory:

5. Tag der Konzeptentwicklung und der Tests für das Active Directory. Die Berechtigungsstrukturen sind bereinigt, und die Vorgehensweise für den Einbau von „Brandschutzmauern“ ist vorbereitet.

Applikationsbetrieb:

Für die Mitglieder der RUB wird eine Übersicht über den jeweiligen Status der von IT.SERVICES administrierten Applikationssysteme veröffentlicht.

Notbetrieb:

Der Notbetrieb ist soweit vorbereitet, dass gemäß der Priorisierung mit den jeweiligen Ansprechpartner*innen die Konfiguration an den Not-Arbeitsplätzen vorgenommen werden kann. Im wichtigen Einzelfällen, für die z. B. Fristen bestehen, können Daten aus SharePoint und dem zentralen Fileservice extrahiert werden.

Wiederaufbau der Toplevel Domäne:

Die Maßnahmen zur Bereinigung der technischen Infrastruktur sind fortgeschritten.

Wiederaufbau der Toplevel Domäne ruhr-uni-bochum

Die Umsetzung des entwickelten Konzeptes wird in einer Sandbox-Umgebung getestet. 

Die Entwicklung des Konzepts für den Wiederaufbau des zentralen Active Directory wird fortgeführt.

Notbetrieb

Für die zentralen IT-Systeme der RUB, die vom Shutdown betroffen sind, wird ein Notbetrieb eingerichtet. Hierbei sind die Verwaltungssysteme im Bereich Studium und Lehre am höchsten priorisiert.

Wiederaufbau der Toplevel Domäne ruhr-uni-bochum

Neben der fortlaufenden Sicherheitsanalyse startet gemeinsam mit dem Expertenteam die Entwicklung eines Konzepts für den Wiederaufbau des zentralen Active Directory.

E-Mail

Auch die Nutzerinnen und Nutzer der Universitätsverwaltung sind wieder wie gewohnt erreichbar.

E-Mail

Alle Nutzerinnen und Nutzer in den Fakultäten, ZWEs und ZBEs sind wieder über ihre bekannten E-Mail-Adressen erreichbar.

Analyse der Toplevel Domäne ruhr-uni-bochum

Die Sicherheitsanalyse der Domäne ruhr-uni-bochum wird fortgesetzt, die Systeme werden offline auf Schwachstellen und Kompromittierung untersucht und bereinigt.

E-Mail

Damit die betroffenen Personen an der Ruhr-Universität möglichst schnell wieder per E-Mail erreichbar sind, kann für diese ein alternativ an der RUB eingesetztes Mail-System aktiviert werden. 

Analyse der Toplevel Domäne ruhr-uni-bochum

Auf Basis der bisherigen Ergebnisse der Forensik startet gemeinsam mit einem weiteren Expertenteam die Sicherheitsanalyse der Domäne ruhr-uni-bochum.

Passwortänderung notwendig

Wir müssen davon ausgehen, dass auch Passwörter korrumpiert wurden. Aus diesem Grund ist es sicherheitstechnisch notwendig, dass jeder Account an der Ruhr-Universität ein neues Passwort bekommt. Das bedeutet, dass alle Nutzerinnen und Nutzer ihr Passwort neu setzen müssen.

Die unterschiedlichen Handlungsoptionen wurden mit einer erweiterten Expertengruppe erörtert. Die Experten sind sich mittlerweile sicher, dass es sich um einen sogenannten "unspezifischen" Angriff handelt, hinter dem kriminelle Absichten stecken. 

Innerhalb der Logfiles der Systeme konnten Netzwerkmuster und verwendete Tools identifiziert werden. Diese Informationen werden nun dazu verwendet, weitere Angriffe zu erkennen bzw. zu verhindern.

Die Forensik hat aufgezeigt, dass der Angriff auf die zentrale Infrastruktur über ein System, das über RDP aus dem Internet offen erreichbar war, erfolgt ist. Hierüber ist es dem Angreifer gelungen, sich erhöhte Berechtigungen zu verschaffen und die Top-Level-Domäne zu kompromittieren.

Auf Basis dieser Ergebnisse wurden erste Handlungsempfehlungen formuliert. Diese wurden dann über das an der RUB eingesetzte Instant-Messaging-System Riot kommuniziert. 

Gemeinsam mit den Sicherheitsexperten von GDATA wurde die Forensik der identifizierten Systeme weiter durchgeführt. 

Aktuell gehen wir davon aus, dass über die lokalen Rechner keine Gefahr für die zentrale Infrastruktur ausgeht. Nach aktuellem Kenntnisstand sind Mac- und Linux-Systeme nicht betroffen. Die Infektion eines Windows-Systems können wir nicht ausschließen.

Es wurde festgestellt, dass in der Nacht vom 6. auf den 7. Mai 2020 ein Angriff auf die IT-Infrastruktur der RUB stattgefunden hat. Daraufhin wurde empfohlen, dass aufgrund der unklaren Situation alle vernetzten Windows-basierten Server-Systeme auch in den Fakultäten herunterzufahren sind. Aufgrund der Komplexität der Problemlage wurden ortsansässige Sicherheitsexperten von GDATA hinzugezogen.

FAQ

Auf der zentralen Website der RUB finden Sie Fragen und Antworten rund um das Thema Cyberangriff auf die RUB.


Für Administratoren und Netzbetreuer

Für diese Zielgruppe bieten wir im Messenger Riot in dem Raum "IT.SERVICES Bulletin" Informationen an. Eine Anleitung, wie Sie Riot nutzen können, finden Sie hier.


Kontakt

Für technische Fragen und Support wenden Sie sich bitte an unser Helpdesk unter its-helpdesk@ruhr-uni-bochum.de.