BrancheHochschule
HQDeutschland
UnternehmenJustus-Liebig-Universität Gießen (JLU)
Mitarbeitende5.500 + 28.000 Studierende
Im Dezember 2019 wurde die Justus-Liebig-Universität in Gießen von einem Cyberangriff getroffen. Der Universität gelang es, in relativ kurzer Zeit wichtige Teile wieder in Betrieb zu nehmen. Während der Ausfallzeit wurde eine ausgezeichnete externe Kommunikation aufrechterhalten. Zudem wurden die Ereignisse gründlich dokumentiert und aufbereitet, siehe untenstehender Link.

Cyberangriff

Datum:
8. Dezember 2019
Art des Angriffs:
Ransomware
versucht / vollendet:
vollendet
Täter:
Ryuk
Sofortmaßnahmen:
Trennung vom Internet, Herunterfahren von Servern und Speichersystemen
Krisenmanagement:
Einrichtung eines Krisenstabs
Lagebesprechungen mit der Leitungsebene
Krisenkommunikation:
Provisorische Homepage
Soziale Medien, Youtube
Behörden, Drittmittelgeber per Schreiben
Einrichtung von internen Krisen-Hotlines
Interne Informationsveranstaltungen
Interne Rundmails
Pressekonferenzen
Notbetrieb:
Provisorische Mailadressen für wichtige Ansprechpartner
Ersatz-Mailsystem
Temporär Betrieb von Rechnern ohne Netzanbindung
Forensische Untersuchung:
Mit externen Beratern
Betroffene IT-Infrastruktur:
Exchange-Mailsystem
Server-Infrastruktur für die Desktop-Virtualisierung
Teil der Netzlaufwerke
300 Client-Systeme
Windows-Domäne
Rund 130 Windows-basierte, größtenteils virtualisierte Serversysteme
Auswirkungen auf den Geschäftsbetrieb:
kein Internet, E-Mail, interne Netzwerke
Dauer der Auswirkungen:
Wichtige Systeme konnten bis Januar wieder in Betrieb genommen werden.
Die Auswirkungen waren jedoch weit ins Jahr 2020 spürbar
Wiederherstellung:
Neuaufbau der Windows-Domäne
Scan von 6 000 Windows-basierten Endgeräten auf Schadsoftware
Einspielen von Datensicherungen
Zurücksetzen der Passwörter von 38.000 Benutzerkonten. Neuvergabe primär über persönliche Abholung, in Ausnahmen über Video-Ident.
Kosten:
€ 1,7 Millionen direkt der Schadensbewältigung zurechenbar
Lösegeldforderungen:
keine Forderungen gestellt
Wichtige Erkenntnisse:
Eine Trennung von interner und externer Kommunikation war insbesondere in der Anfangsphase nicht möglich
Konsequente Pflege eines FAQ auf der Homepage verhinderte Verbreitung von Falschinformationen
Die Beantwortung der zahlreichen Anfragen auf Social Media war zeitaufwändig, aber notwendig.
Scan eines Endgeräts sehr zeitaufwändig (mehrere Stunden)
Es wurde externe Hilfe benötigt, denn die internen personellen Ressourcen des Hochschulrechenzentrums reichten nicht annähernd aus
Quellen: