Den frühen Morgen des 7. Mai 2020 wird Dr. Christina Reinhardt nicht so schnell vergessen. Mitarbeitende der zentralen IT an der RUB bemerkten, dass verschiedene Dienste, insbesondere SharePoint und Exchange, nicht mehr richtig funktionierten und Server teilweise verschlüsselt waren. Die Verantwortlichen riefen den IT-Notfall aus. Die Verwaltung der RUB war damit arbeitsunfähig. Betroffen waren mehr als 42.000 Studierende und über 6.000 hauptamtliche Beschäftigte an 21 Fakultäten.
Frau Dr. Reinhardt, was war Ihr erster Gedanke, als Sie von der Cyberattacke erfahren haben?
Als morgens um kurz nach acht am 7. Mai 2020 der Anruf aus der IT kam, ist mir erst einmal das Herz in die Hose gerutscht. Das ist so ein Moment, den man immer fürchtet - und dann kommt er eines Tages. Die Leute aus der IT melden sich und sagen mit Grabesstimme: „Wir sind angegriffen worden, wir haben alles runtergefahren.“
Da bleibt einen Moment lang die Welt stehen und dann denkt man: Okay, was bedeutet das jetzt? Was muss ich alles machen? Was muss ich vor allem als erstes machen? Und das muss man zunächst mal sortieren. Das dauert einen Moment, weil man aus diesem Schock erst mal herauskommen muss.
Was haben Sie aus dem Vorfall mitgenommen?
Wir wissen jetzt, was hilft. Damals hatten wir diese Erfahrung noch nicht. Aber jetzt sind wir krisenerprobt, und haben den Ernstfall bereits mehrfach durchgespielt. Es braucht einen Krisenstab. Und im Vorfeld müssen wichtige Fragen für diesen Krisenstab geklärt werden: Wer gehört dazu und für welches Thema? Wer trifft die Entscheidung und wer muss bei der Entscheidungsfindung einbezogen werden? Das ganze Thema nenne ich Krisen-Governance. Wenn ich darauf zurückgreifen kann, bin ich schon einen Riesenschritt weiter.
Wir haben unmittelbar an dem Vormittag, als der Angriff entdeckt wurde, bei G DATA angerufen und die haben ihre schnelle Eingreiftruppe, wie ich sie immer nenne, geschickt. Das fand ich toll.
Wie wichtig war das Netzwerk rund um IT an der Universität und in Bochum für die Bewältigung des Vorfalls?
Wir bilden als Universität seit Jahrzehnten viele junge Leute aus, die dann in der IT-Sicherheitsbranche arbeiten. Mit der Zeit hat sich hier ein großes Netzwerk gebildet, mit IT-Sicherheitsfirmen wie G DATA und anderen, mit denen wir viel kooperieren. Das ist schon ein Pfund, auf das man im Krisenfall glücklicherweise zurückgreifen kann.
Und so war es ja dann auch. Wir haben unmittelbar an dem Vormittag, als der Angriff entdeckt wurde, bei G DATA angerufen und die haben ihre schnelle Eingreiftruppe, wie ich sie immer nenne, geschickt. Das fand ich toll. Graduell denke ich, dass wir jetzt in vielerlei Hinsicht geschützter sind als vor dreieinhalb Jahren. Aber ich glaube nicht, dass wir sicher sind.
Wie hat sich durch den Angriff die Sichtweise auf IT-Sicherheit an der RUB verändert?
Unabhängig von dem Hackerangriff ist bei uns die Awareness größer geworden ist. Zum Beispiel sind diese Phishing-Mails, auf die noch jemand hereinfällt, wirklich selten. Da hat sich viel Gutes entwickelt. Ansonsten ist es eher so - und das merke ich an meiner Reaktion, wenn Sachen mal nicht funktionieren – dass ich denke: Jetzt könnte das wieder passieren.
Warum greifen Cyberkriminelle Universitäten und Hochschulen an?
Ich glaube, dass wir eher ein Zufallsopfer waren, denn in der Regel gibt es bei Universitäten eigentlich nichts zu holen. Hochschulen zählen zum öffentlichen Dienst und da gilt die goldene Regel, dass man nicht bezahlt, wenn man erpresst wird.
Die Daten, die geklaut werden, sind in der Regel nicht so interessant. Man erfährt manchmal hinterher, dass Informationen, die ausgeleitet wurden, im Darknet wieder angeboten werden – aber zu Spottpreisen und eigentlich will die niemand haben.
Warum sprechen Sie als Betroffene über den Angriff?
Ich persönlich gehöre eher zu denen, die es richtig finden, darüber zu sprechen. Obwohl ich die Diskussion natürlich kenne, dass man nicht so viel drüber erzählen soll. Ich finde den Austausch mit meinen Kolleginnen und Kollegen von anderen Universitäten, den wir mittlerweile sehr intensiv betreiben, sehr hilfreich. Wir können da viel voneinander lernen. Ich finde es eigentlich auch nicht richtig, wenn solche Themen schambesetzt sind - als ob man selbst schuld wäre. Deswegen bin ich da für eine offensive Kommunikation. Wir sind aber auch von der Staatsanwaltschaft eher um Zurückhaltung gebeten worden.
Meine Tipps für andere Universitäten, wenn sie bislang nicht angegriffen worden sind und das noch vor sich haben: Sie sollten sich auf diesen Tag X auf jeden Fall vorbereiten.
Welche Ratschläge haben Sie zur Vorbereitung auf einen Hackerangriff?
Meine Tipps für andere Universitäten, wenn sie bislang nicht angegriffen worden sind und das noch vor sich haben: Sie sollten sich auf diesen Tag X auf jeden Fall in verschiedener Hinsicht vorbereiten.
Erstens müssen Sie sich überlegen: Wie organisieren Sie sich im Krisenfall? Also wer trifft welche Entscheidungen? Wer geht in den Krisenstab? Wie und wo will der arbeiten? Und was kann ich schon vorher planen?
Zweitens ist es wichtig, dass man sich überlegt: Wie kann man im Ernstfall kommunizieren? Wenn man Pech hat, ist ja auch das E-Mail-System verschlüsselt oder die Homepage nicht mehr erreichbar. Das heißt, man braucht irgendwo einen Ort, wo man zuverlässig die Mitglieder der Organisation oder auch Externe informieren kann.
Der dritte Tipp ist im Grunde, dass man versucht, seine IT in der Regel mit externer Hilfe immer so auszustatten, dass die Systeme up-to-date sind und State-of-the Art-Technologien zum Einsatz kommen. Das Netzwerk sollte so aufgebaut sein, dass man schnell Expertinnen oder Experten dazu holen kann, wenn der Worst Case dann doch passiert.