HSG übersteht Cyberattacke

Ende April vor einem Jahr blickte Kurt Städler frühmorgens auf den Bildschirm und wusste: «Da ist etwas ziemlich schiefgelaufen.» Der Leiter IT Backend Services an der Universität St.Gallen begann seinen Arbeitstag wie üblich zuhause, als er die unerfreuliche Entdeckung machte. Erst glaubte Städler, dass ein Fehler bei seinem laufenden Projekt unterlaufen sei – die IT der HSG war gerade daran, ein neues Virtualisierungssystem einzuführen. «Ich sah auf dem Überwachungssystem, dass gewisse Server einfach nicht mehr da waren.» Er gab Abklärungen in Auftrag. Als Städler kurz darauf an der HSG eintraf, hatte der Beauftragte bereits mit der Lieferantin des Virtualisierungssystems gesprochen. Für Städler hatte er Bad News: Die HSG hatte sich einen Trojaner eingefangen.

Word-Anhang verbirgt Malware
Rasch wurden Hinweise gefunden, dass es sich beim Trojaner um Schadsoftware des Typs Emotet handeln dürfte. Die IT der HSG hat sofort mit einer Tochterfirma der Lieferantin, die auf IT-Forensik und IT-Security spezialisiert ist, Nachforschungen betrieben. Heute kennt man die Chronologie und weiss, dass es mehr als ein Ereignis gab. Ob die einzelnen Angriffe in einem Zusammenhang stehen oder zufällig im gleichen Zeitraum die HSG trafen, lässt sich nicht schlüssig beantworten. Auch nicht bekannt nach der forensischen Untersuchung ist, wo genau die Malware eingedrungen ist: «Dazu hätten wir auf Client-Ebene weitersuchen und sehr viele Log-Files zusammensammeln müssen, die wir nicht einmal sicher gehabt hätten», sagt Kurt Städler. «Das haben wir bleiben lassen.» Ein Emotet-Trojaner kommt getarnt in einem E-Mail in eine Organisation. Dabei werden in einem ersten Schritt aus echten E-Mails und geklauten Kontaktdaten bereits infizierter Nutzer anderswo sehr glaubwürdig wirkende Spam-Mails generiert. Diese haben in der Regel einen Anhang im Word-Format, in dem die Malware versteckt ist.

Geleaktes Konto
Nachdem die Malware ins System eingedrungen war, nutze sie für den Angriff auf die Virtualisierungsumgebung ein geleaktes Konto. Von einem solchen Konto konnte sie das Passwort rausfinden oder sie kennt zumindest den Hash-Wert des Passwortes. Der Hash-Wert ist das von einem Algorithmus berechnete Äquivalent zum Passwort. Mit diesen Zugangsdaten konnte sich der Trojaner aufs System einloggen. «Dummerweise wurde der Hash vom Administrator dieses Systems gestohlen», erläutert Kurt Städler. «Ein Nutzer mit Administrator-Rechten hat die Berechtigung, auf dem System etwas zu verändern.» Deshalb hätten die Angreifer wohl bewusst nach den Administratoren-Daten gesucht. Als sich der Angriff manifestierte und viele Systeme verschwunden waren oder nicht mehr funktionierten, wurden als erste Sicherheitsmassnahme alle Systeme, die noch liefen, ausser Betrieb genommen. Das war an einem Freitag, wenn weniger Leute an der HSG arbeiten. Reklamationen bei der IT gab es trotzdem, die meisten, weil man nicht mehr drucken konnte. Auf dem neuen, virtuellen System wurden durch die Malware nicht nur Live-Daten, sondern auch Backups gelöscht, wie Kurt Städler erläutert. «Alles, was mit Malware in Berührung kam, konnten wir nicht mehr verwenden.» Die IT-Verantwortlichen mussten rund 130 Systeme einzeln kontrollieren, ob sie überhaupt noch vorhanden waren – und wenn ja, ob sie noch funktionierten.

Rückgriff auf alte Umgebung
Der Zeitpunkt des Angriffs sollte sich im Nachhinein als günstige Fügung für die HSG herausstellen. Die IT installierte gerade das neue Virtualisierungssystem, auf dem Windows- und Linux-Server laufen, die keine eigene Hardware mehr brauchen. «Das kostet ein bisschen etwas, unter dem Strich sind solche Systeme aber viel effizienter in Bezug auf Betriebs- und Unterhaltskosten», betont Städler. Weil die HSG just in der Migrationsphase steckte, lief auch das alte System noch, und auf diesem gab es ein unversehrtes Backup. «Dadurch konnten wir vom Angriff zerstörte Systeme aus der alten Umgebung zurückholen. Es war sicher ein Glücksfall, dass wir das alte System noch hatten.» Die IT erstellte eine Liste und priorisierte die Reihenfolge der Wiederherstellung von 90 betroffenen System – im Wissen, dass jeder Bereich und jedes Institut sein eigenes System als das Wichtigste erachtet. Alle gemäss IT-Liste wichtigen Systeme liefen bis am Sonntagabend wieder; die weiteren Systeme konnten später auch nachgebaut werden.

Neue Backup-Lösung
Als Konsequenz dieses Angriffs wurde die schon früher geplante Implementierung eines neuen Backup-Regimes priorisiert, es wird nun ein zusätzliches Offline-Backup eingeführt. «Somit haben wir immer mehrere Kopien eines Backups», sagt Kurt Städler: «Die Originaldaten, eine erste Kopie – und nun eben eine zweite Kopie in einem anderen Format an einem anderen Ort.» Offline bedeutet heutzutage nicht mehr, dass jemand physisch einen Stecker zieht, auch das realisiert man mit Software-Mechanismen. Städler gibt sich zuversichtlich: «Dieses zweite Backup sollte so geschützt sein, dass es durch Malware nicht mehr verändert werden kann.» Dass die HSG mit einem blauen Auge davongekommen ist, lässt sich nicht nur auf Glück im Unglück zurückführen: Es zeigte sich, dass die IT ihre Hausaufgaben gemacht und einige clevere Sicherheitshürden eingebaut hatte.

In Zonen aufgeteilt
Bereits seit das HSG-Netzwerk 2006 neu konzipiert wurde, gibt es eine Aufteilung in Zonen. Im Zonenkonzept ist festgelegt, was intern ist und was besonders geschützt werden muss. Bei der Noteneingabe beispielsweise tragen Professoren oder Lehrbeauftragte die Note in einem online erreichbaren Portal ein. Erst von dort aus wird die Note auf eine Datenbank gespeichert, die im internen Servernetz eingebunden ist. Diese stärker abgesicherte Zone kann nie eine direkte Verbindung ins Internet herstellen.

Dieses Prinzip hat sich bewährt. Die systematische Forensik förderte nämlich nach dem Angriff zutage, dass die HSG schon seit mindestens einer Woche vor dem erkannten Vorfall Malware im System hatte. Nicht nur auf der neu installierten Virtualisierung, sondern auch auf den Domänencontrollern, die das sogenannte Active Directory beinhalten. «Das sind jene Systeme, auf denen sämtliche Benutzerdaten drauf sind – Kontoinformationen, Login, Berechtigungen», erklärt Kurt Städler. «Wenn das gelöscht, gestohlen oder verschlüsselt wird, steht der Betrieb still.» Das Active Directory umfasst vier Systeme, auf denen die Daten verteilt sind und laufend untereinander synchronisiert werden. «Zwei dieser vier Systeme waren mit Malware infiziert, die anderen beiden nicht», sagt Städler. Es stellte sich heraus, dass diese Malware stetig versuchte, nach aussen ins Internet zu kommunizieren, «das haben wir auf der Firewall gesehen». Vermutlich wollte die Malware mit einem Server der Hacker kommunizieren, das wurde aber von der Firewall blockiert.

Angriff scheiterte vor der Ziellinie

Dieser Eingriff der Firewall war kein Glücksfall. «Wir hatten schon vor Jahren aufgrund von Empfehlungen in Audits eingeführt, dass Outbound, also ausgehender Verkehr vom Server ins Internet, auf das Nötigste eingeschränkt wird. Weil wir den Rat beherzigt hatten, ist es nicht zur Zerstörung des Active Directory gekommen», erläutert Städler. «Sonst hätte die HSG längere Zeit nicht normal arbeiten können.» Angriffe von Hackern laufen immer in mehreren Schritten ab. Gemäss der Firma, die mit den forensischen Untersuchungen der HSG-IT betraut wurde, hatten die Angreifer Stufe 4 von 5 erreicht. Sie konnten ein geleaktes Konto missbrauchen, die Malware aufs System bringen und sie dort verstecken. Was jedoch nicht mehr klappte, war der Kontakt vom infizierten System zur Basis der Angreifer. Dort wäre vermutlich der Auslöser für die Verschlüsselung oder Löschung der Daten abgerufen worden. So weit ist es aber nicht gekommen.