SRH-Vorstand Patrick Mombaur leitete den Krisenstab und erklärt, wie es zu dem Cyberangriff kam, welche Maßnahmen ergriffen wurden und welche Sicherheitsvorkehrungen notwendig sind, um sich in Zukunft vor einem solchen Angriff zu schützen.
Knapp zwei Monate nach dem Cyberangriff auf die SRH laufen die meisten IT-Systeme wieder. Die Wiederherstellung der Arbeitsumgebung hat viel Kraft gekostet – nicht nur in der IT, sondern auch bei allen Mitarbeitenden, die in den letzten Wochen viel Flexibilität bewiesen haben. Auch die Studierenden haben viel Geduld, aber auch Verständnis aufgebracht. Wie es zu dem Cyberangriff kam, welche Maßnahmen ergriffen wurden und welche Sicherheitsvorkehrungen notwendig sind, um sich in Zukunft vor einem solchen Angriff zu schützen, erklärt SRH-Vorstand Patrick Mombaur, der zugleich den Krisenstab geleitet hat.
Herr Mombaur, am 19. September 2021 wurde die SRH Opfer einer Cyberattacke. Was ist genau passiert?
Nach letzten Erkenntnissen sind Unbekannte bereits Mitte August erstmals in unsere Infrastrukturen eingedrungen. Bis Mitte September sind sie gezielt und mit krimineller Energie vorgegangen, um ihren Zugriff zu verbreitern. Dabei wurden sehr professionelle Tools eingesetzt, u.a. um Nutzer:innen/Passwort-Kombinationen auszulesen und um ihre Aktivitäten zu verschleiern. Am 19.9. hatten sie schließlich genug Rechte gesammelt, um zuzuschlagen und unsere Systeme im Karlsruher Rechenzentrum zu verschlüsseln. Unsere Bereitschafts-IT konnte bereits am Sonntagmittag, den 19. September, die Sachlage in voller Tragweite erkennen.
Wie hat die SRH darauf reagiert?
Wir haben noch am selben Tag einen Krisenstab gebildet, der sich aus Vertreter:innen des Vorstands, der Kommunikation, der IT Solutions, externen Beratern und den Geschäftsführer:innen der betroffenen Gesellschaften zusammensetzte. Der Krisenstab hat sich zunächst ein Bild der Situation verschafft und Sofortmaßnahmen ergriffen, um einerseits größeren Schaden abzuwenden und die Arbeitsfähigkeit der einzelnen Gesellschaften aufrecht zu erhalten.
Welche Maßnahmen waren das konkret?
Der Angriff richtete sich in erster Linie gegen unsere Hochschulen und Bildungseinrichtungen; diese waren am stärksten betroffen. Wir haben jedoch vorübergehend auch unsere Krankenhäuser und Gesundheitsunternehmen vom Netz genommen, um zu vermeiden, dass die Hacker in weitere Systeme eindringen und damit noch mehr Schaden anrichten können. Parallel dazu war natürlich die Kommunikation ein wichtiges Thema: Wir haben in den ersten Stunden nach dem Angriff Notfall-Adressen und -Telefonnummern eingerichtet, um die Erreichbarkeit untereinander, aber auch für unsere Kunden sicherzustellen. Teams – da cloudbasiert – sowie unser Intranet waren auch wichtige Werkzeuge, mit dem wir in den ersten Tagen und Wochen die Kommunikation intern sicherstellen konnten.
Sie waren von 2015 bis 2019 Leiter der SRH IT Solutions GmbH, waren davor viele Jahre im Bereich IT tätig und haben schon einige Cyberangriffe miterlebt. Auf einer Skala von 0 bis 10 – wie schlimm hat es die SRH troffen?
Das lässt sich schwer bemessen. Andere Hochschulen und Unternehmen sind noch stärker geschädigt worden. Ich selbst aber hatte bis zu diesem Angriff keinen erlebt, der so gezielt, professionell und über mehrere Wochen hinweg vorbereitet war. Die Angreifer sind über mehrere Rechner in unsere Systeme eingedrungen und haben sehr geplant ihre Zerstörung vorbereitet.
Laut einer Studie des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) wurden in den vergangenen zwei Jahren etwa drei Viertel der befragten Unternehmen Opfer eines Cyberangriffs. Hat die Gefahr in den letzten Jahren zugenommen?
Umfang und Qualität der Angriffe auf Unternehmen haben definitiv stark zugenommen. Statistiken sind ja immer so eine Sache – in diesem Fall kenne ich aber keine, die Gegenteiliges anzeigt. Die Hacker haben sich professionalisiert, sie sind technisch sehr gut ausgerüstet. Oftmals handelt es sich dabei um Cyberbanden mit finanziellen Ressourcen, die nicht zu unterschätzen sind.
Hätte sich die SRH besser vor einem solchen Angriff schützen können?
Externe Experten bestätigen uns, dass das Sicherheitslevel der SRH im Vergleich zu anderen Hochschulen und Gesundheitskonzernen keinesfalls niedrig war, eher überdurchschnittlich hoch. Aber mit Sicherheit können wir uns noch besser schützen. Das ist sehr vergleichbar mit dem Schutz eines Hauses gegen Einbrecher. Auch da gibt es leider keinen hundertprozentigen Schutz, und es bleibt immer ein Wettlauf mit dem Fortschritt der Kriminellen, aber all das darf einen nicht in der Energie hemmen, den Schutz möglichst hoch zu schrauben. Dabei wird auch 2022 ein Schwerpunkt auf ein neues Setup der Studierendendomäne SRHK liegen, denn über diese erfolgte der Angriff.
Die Staatsanwaltschaft Mannheim und das Landeskriminalamt ermitteln wegen des Verdachts der Erpressung und der Computersabotage. Haben Sie Hoffnung, dass die Täter gefasst werden?
Da es sich um ein laufendes Verfahren handelt, können wir zum Stand der Ermittlungen nichts sagen. Die Erfahrungen aus vergleichbaren Cyberangriffen zeigen jedoch, dass die Chancen, die Hacker ausfindig zu machen, relativ gering sind.
Welcher Schaden ist für die SRH entstanden?
Direkter Schaden ist vor allem durch Systemausfälle und den damit verbundenen fehlenden Zugriffen auf bestimmte Systeme entstanden. Das war für alle unsere Unternehmen und unsere Mitarbeiter:innen, Student:innen, Teilnehmer:innen nicht einfach.
Zudem sind auch einige wenige Dateien kopiert und ins Darknet gestellt worden. In sehr wenigen Einzelfällen wurden auch personenbezogene Daten veröffentlicht. Die betroffenen Personen wurden unmittelbar informiert und beraten.
Die Aufräumarbeiten haben uns einige Wochen produktiver Arbeit gekostet, und das ist sehr schmerzhaft.
Nach welcher Priorität sind Sie vorgegangen, um die IT-Systeme wiederherzustellen?
Hier galt ganz klar: Sicherheit vor Zeit! Da wir bei allen entscheidenden Systemen über hervorragende Backups verfügen, die die Hacker trotz Versuchen nicht knacken konnten, ist (fast) alles wiederherstellbar. Nun hätten wir das ganz schnell und unkontrolliert machen können. Tatsache aber ist: Nachdem Hacker eingedrungen sind, muss alles in der Infrastruktur und den Systemen auf Schädigung untersucht werden. Es ist leider ein übliches Prinzip der Hacker, sogenannte „Backdoors“ und „Schläfer“ zu hinterlassen, die sich bei einfacher schneller Wiederherstellung ohne intensive Säuberung dann später wieder von selbst entpacken und den gleichen Schaden erneut anrichten.
Auch wenn wir durch die längere Wiederherstellzeit die IT-Nutzer:innen länger hinhalten mussten als technisch notwendig, war es das meines Erachtens wert: Wir wollen alles daran setzen, einen erneuten Schadfall zu vermeiden. Der Prozess hat den Mitarbeitenden in der Hochschule viel Geduld abverlangt, und wir sind sehr dankbar dafür, dass sie so viel Flexibilität in dieser Ausnahmesituation erwiesen haben. Auch den Studierenden danken wir sehr für ihr Verständnis.
Bis wann werden die Wiederherstellungsmaßnahmen vollständig abgeschlossen sein?
Wenn man die Wiederherstellung rein mathematisch mit der Anzahl wieder produktiver Clients und Server bemisst, dann sind wir schon jetzt bei deutlich über 90%. 100% werden wir auch nicht wiederherstellen, weil Systeme, die in sich unsicher sind, nicht mehr produktiv genommen werden. Deshalb ist die Frage nicht klar beantwortbar. In der nächsten Woche werden wir daran arbeiten, Citrix und verschiedene Schnittstellen wiederherzustellen. Auch bei den Mailaccounts kommen wir weiter voran: Hier geht es darum, dass alle Mitarbeitenden wieder Zugriff auf ihre gesicherten OST-Dateien erhalten und die Funktionspostfächer wieder vollständig reaktiviert werden. Am Ende werden wir gestärkt aus diesem Cyberangriff hervorgehen.
Was waren rückblickend die Learnings aus dem Cyberangriff?
Die IT-Sicherheit wird weiterhin eine hohe Priorität bei uns haben, denn es ist unsere Aufgabe als Konzern, die Daten unserer Kund:innen und Mitarbeiter:innen vor organisierter Kriminalität zu schützen. Wir haben in den letzten Monaten viele technische, strukturelle, aber auch organisatorische Maßnahmen ergriffen, um uns in Zukunft vor Angriffen zu schützen und schnell reagieren zu können. Doch letztlich können wir nur den Rahmen setzen, und es kommt auch auf die Achtsamkeit der Anwender:innen an: Angefangen bei der Vergabe von sicheren Passwörtern bis hin zur sicheren Nutzung von externen Datenträgern können wir alle dazu beitragen, dass sich ein solcher Cyberangriff nicht wiederholt. Auch werden sich in unseren Hochschulen alle stärker daran halten müssen, dass Computer, die nicht durch die IT Solutions verwaltet werden, nicht in SRH-Netzwerke gelangen.
Wie haben Sie persönlich die SRH im Krisenmodus erlebt?
Ich möchte mich ganz herzlich bei allen Mitarbeitenden und unseren Kund:innen bedanken, die die letzten Monate den Weg der Wiederherstellung unterstützend begleitet haben. Es war für alle nicht leicht, in einer Arbeitsumgebung, die zwischendurch alles andere als optimal war, Lösungen zu finden, um unsere Kund:innen weiter bedienen zu können. Gerade in dieser Ausnahmesituation hat sich unsere Organisation sehr agil und resilient gezeigt, und ich bin sehr stolz darauf, wie wir alle in der SRH auf diese Krise reagiert haben.
Lieber Herr Mombaur, wir danken Ihnen für dieses Gespräch.
Das könnte dich interessieren
