Herr Granig, Sie beraten namhafte Institutionen beispielsweise das Land Kärnten nach dem Hackangriff im Vorjahr. Jetzt unterstützen Sie die Uni Graz. Wie gut war und ist die Uni auf derartige Attacken vorbereitet?
Cornelius Granig: Die Uni Graz hat in den letzten Jahren bereits signifikante Investitonen im Bereich Informationssicherheit getätigt. Das war auch der Grund dafür, dass durch ein modernes Angriffserkennungssystem und die laufende Überwachung des Netzwerks der aktuelle Angriff zeitnah von den Mitarbeitern der Abteilung uniIT erkannt werden konnte. Jetzt stehen weitere Maßnahmen für die Verbesserungen der Cyber Security an - darunter eine neue Password-Policy, die Zwei-Faktor-Authentifizierung und Schulungsmaßnahmen, mit denen noch mehr Bewusstsein für die Gefährlichkeit von Computerkriminalität und Möglichkeiten für die Abwehr von Angriffen geschaffen werden sollen. Das IT-Team der Universität hat seit Beginn der Cyberattacke rund um die Uhr gearbeitet und es durch diesen großen Einsatz ermöglicht, dass viele Systeme störungsfrei gelaufen sind, sodass manche Benutzer:innen sich dessen gar nicht bewusst wurden, dass gerade von unbekannten Täter:innen der Versuch unternommen wurde, die Uni Graz digital lahmzulegen.
Was war in der Akutphase die größte Herausforderung?
Cornelius Granig: Zu Beginn ging es um die schnelle Einbindung von externen Spezialist:innen, um gemeinsam mit den internen IT-Mitarbeiter:innen den Angriff einzudämmen, die Angreifer:innen auszusperren und die Datenschutzbehörde sowie die Sicherheitsbehörden zu informieren. Seither werden die Hunderten Systeme und riesigen Datenbestände der Universität im Rahmen einer forensischen Analyse auf Spuren der Angreifer:innen untersucht. Überdies geht es darum, mögliche Hintertüren, die neue Angriffe erlauben würden, zu schließen. Eine wesentliche Rolle spielte die sehr professionell agierende Kommunikationsabteilung der Uni Graz, die schnell die wichtigsten Fakten rund um den Cyberangriff veröffentlichte und die Mitarbeiter:innen und Studierenden der Universität in enger Abstimmung mit dem Krisenstab zu jedem Zeitpunkt über die schon verfügbaren Details in Kenntnis setzte. Information über das Geschehen ist besonders wichtig, auch wenn man noch nicht viel weiß, da die Benutzer:innen Fragen über mögliche Auswirkungen auf ihr Studium, den Abschluss von Kursen oder die Verfügbarkeit von Daten haben, mit deren Beantwortung man nicht Tage oder Wochen warten kann. Ähnliches gilt für die Medien: Gerade bei einer großen Organisation wie der Uni Graz kursierten viele Gerüchte, offene Fragen und Vermutungen über das Geschehen im Rahmen der Cyber-Attacke, die an Journalist:innen herangetragen wurden. Die Kommunikation der Uni Graz war transparent und darauf ausgerichtet, fundierte und nachhaltige Antworten zu geben, was seinen Niederschlag in ausführlichen und informativen Artikeln in vielen Medien fand.
Cyberangriffe häufen sich und sind offensichtlich neue kriminelle Businessmodelle. Wie kann sich jede:r Einzelne schützen und sich konkret beim Schutz der universitären IT-Systeme einbringen?
Cornelius Granig: Der vorliegende Cyberangriff trägt die Handschrift von Täter:innen, die dem Bereich der organisierten Computerkriminalität zugeordnet werden können. Die Uni Graz dürfte dabei ein eher zufälliges Opfer geworden sein, da derartige Angreifer:innen jeden Tag Millionen Phishing-Mails aussenden lassen, um illegal Zugang zu Organisationen zu finden, in denen jemand unvorsichtigerweise auf ihr „social engineering“ hineinfällt. Damit spreche ich schon die Hauptaufgabe jedes und jeder einzelnen an, nämlich mehr Vorsicht walten zu lassen, wenn man eigenartige E-Mails von Unbekannten erhält. Bei dubiosen Absendern und Inhalten ist es wichtig, niemals auf Links von E-Mails zu klicken oder gar Anhänge zu öffnen. Es gilt viel eher das Motto: „Vor dem Lesen vernichten.“ Auch die Verwendung von unbekannten USB-Sticks oder das Öffnen von problematischen Links in Messaging-Diensten auf Mobiltelefonen sollte man sich zweimal überlegen! Generell müssen wir heutzutage mehr auf der Hut vor Computerkriminalität sein als je zuvor, da schon jede sechste Straftat in Österreich in diesem Bereich angesiedelt ist. Man kann von der zunehmenden „Digitalisierung der Kriminalität“ sprechen, was seinen Grund auch in der Verwendung des Darknets durch Kriminelle hat, damit ihre Identität und Lokation nicht festgestellt werden kann. In Verbindung mit dem geschickten Einsatz von Kryptowährungen für Lösegeldzahlungen können digitale Straftäter:innen länderübergreifend ohne großes Risiko agieren, und jede:r von uns kann zum Opfer werden, auch wenn keinerlei persönliche Beziehung zu den Täter:innen besteht. Ich empfehle die Lektüre und Befolgung der Sicherheitstipps auf der Webseite meines Sicherheits-Blogs granig.blog, um die Risken einer erfolgreichen Attacke aus dem digitalen Untergrund zu senken.