„Aus unserer Universität keine Festung machen“

Wie konnten sich die Hacker Zugang zum Uni-Netz verschaffen?

Heuveline: Zu dem konkreten Angriff kann ich nichts sagen, da die Ermittlungen noch andauern. Aber Cyberattacken sind immer mehrschichtig. Es ist nicht die eine E-Mail, die jemand unvorsichtigerweise anklickt. Das ist viel raffinierter. Hacker fangen klein an. Sie verschaffen sich irgendwo an einer Ecke Zugang zum Netzwerk. Von dort schauen sie sich um, nutzen jede Schwäche aus. Das muss man sich vorstellen wie einen Guerillakrieg. Solche Angriffe werden zum Teil über Monate vorbereitet.

Wieso ist die Universität Heidelberg dennoch so glimpflich davongekommen?

Heuveline: Wir hatten sicher Glück, aber ich habe auch ein sehr gutes Team. Wir haben die ersten Anzeichen richtig bewertet und die Gefahr erkannt.

Was war das Ziel der Hacker?

Heuveline: Solche Angriffe zielen meist darauf, Daten zu verschlüsseln, die Einrichtung lahmzulegen und zu erpressen.

Sind Daten entwendet worden?

Heuveline: Ja. E-Mail-Adressen, Namen und verschlüsselte Passwortdaten, sogenannte Hashs. Wir gehen davon aus, dass keine Forschungsdaten oder weitere Daten abgeflossen sind.

Müssen die Betroffenen reagieren?

Heuveline: Nein, denn wir haben ja alle Mitglieder der Universität direkt aufgefordert, ihre Passwörter zu ändern, da die Hacker sicher in der Lage gewesen wären, die entwendeten Passwortdaten nach einer gewissen Zeit zu entschlüsseln. Deshalb war das absolut erforderlich. Der Aufwand war allerdings immens. Wir sprechen von 60.000 Accounts. Rund 20 Prozent der Betroffenen mussten wir als URZ aktiv bei der Passwortänderung unterstützen. Eine weitere Maßnahme war, dass Dienste und Webseiten der Universität nur noch über VPN oder aus dem Universitätsnetz erreichbar waren - und zum Teil noch sind. Um VPN zu verwenden, braucht man eine Uni-ID und die Zwei-Faktor-Authentifizierung. Das ist kein absoluter Schutz, aber für Hacker doch eine deutliche Hürde.

Warum dauert es so lange, bis alle Seiten wieder uneingeschränkt erreichbar sind?

Heuveline: Damit ein Dienst oder eine Seite wieder online gehen kann, müssen zwei Bedingungen erfüllt sein: Erstens braucht es klare Zuständigkeiten. Wir müssen wissen, zu welcher Einrichtung ein Server gehört und wer verantwortlich ist. Das zweite ist die Sicherheit. Wir akzeptieren zukünftig keine Server mehr, die in der Schwachstellenprüfung als hochkritisch bewertet werden. Mittlerweile haben wir über 170 Dienste wieder freigegeben. 30 bis 40 Fälle müssen wir noch abschließen. Der Prozess ist sehr aufwendig, aber er ist auch ein Beitrag zu unserer Sicherheit in der Zukunft. Eine solche Überprüfung werden wir jetzt regelmäßig durchführen.

Wann können Uni-Mitglieder wieder ohne VPN auf ihre E-Mails zugreifen?

Heuveline: Mir ist bewusst, dass der aktuelle E-Mail-Zugang für viele ärgerlich und lästig ist, gerade auf mobilen Geräten. Das ist natürlich kein Dauerzustand, aber der Schritt war notwendig. Da bitte ich um Verständnis. Ich wünsche mir - auch als Nutzer - natürlich, dass wir zur Normalität zurückkehren können. Wenn das zeitnah nicht möglich sein sollte, werden wir zumindest Lösungen umsetzen, die nutzerfreundlicher sind.

Institutionen der Wissenschaft und Forschung gelten als besonders beliebte Angriffsziele bei Cyberkriminellen. Warum?

Heuveline: Zum einen haben wir ein hohes Gut - unsere Daten. Eine Universität lebt Innovation und ist allein dadurch interessant. Das andere ist unsere Struktur. Universitäten sind offene Einrichtungen - und das wollen wir auch bleiben. Wir dürfen nicht den Fehler begehen, aus unserer Universität eine Festung zu machen. Das würde massiv zu Lasten der Forschung und der Kooperation gehen. Wir nehmen also Risiken in Kauf, die andere nicht haben - und das macht uns für Hackerangriffe anfälliger.