IT-Sicherheit bei Forschungsinstitutionen
In den vergangenen Wochen gab es vermehrt Meldungen zu Cyberattacken auf Forschungsinstitutionen, Forschungsförderer und Universitäten. Insbesondere die nationale niederländische Wissenschaftsorganisation (NWO) [I] hat es schwer getroffen. Der Betrieb der Organisation, die jährlich fast eine Milliarde Euro an Forschungsgeldern vergibt [II], wurde zeitweise von einer Ransomware-Attacke fast komplett lahmgelegt [III, IV] . Dabei hat die Erpressersoftware Daten der Computersysteme verschlüsselt und unzugänglich gemacht. Selbst interne Systeme wie Telefonie und Mail funktionierten teilweise nicht mehr. Als Vorsichtsmaßnahme war auch zeitweise das Bewerbungssystem für Forschungsmittel nicht verfügbar. Da die größte niederländische Forschungsförder-Organisation sich prinzipiell weigerte, Lösegeld zu zahlen, versucht sie momentan, ihre IT-Systeme von Grund auf neu aufzusetzen. Außerdem haben die Erpresser angeblich interne Daten im Darknet veröffentlicht.
Max-Planck-Gesellschaft (MPG)
„Die Max-Planck-Gesellschaft (MPG) blieb im Jahr 2020 von größeren Angriffen, wie dem ‚Bitcoin‘ HPC-Hack (europäische Supercomputer wurden gehackt, mutmaßlich, um Kryptowährungen abzubauen; Anm. d. Red.) sowie Cyber-Angriffen der APT29 (eine bekannte russische Hackergruppe, der Verbindungen zum russischen Geheimdienst nachgesagt werden; Anm. d. Red.) verschont.“
„Ransomware, CEO-Fraud (Betrugsmethode, bei der sich Angreifer als hohe Mitarbeiter oder Geschäftsführer eines Unternehmens ausgeben und Personen in den Unternehmen dazu bringen wollen, ihnen Geld zu überweisen; Anm. d. Red.) und Social-Engineering (Beeinflussung von Personen, um ihnen Informationen zu entlocken oder sie zu einem bestimmten Verhalten zu bringen; Anm. d. Red.) schrecken auch vor der MPG nicht zurück.“
„Als potenzielles Opfer eines Ransomware-Angriffes würde die MPG auf die professionelle Hilfe des Erpresser-Verhandlungsteams des Bundeskriminalamts (BKA) und des Landeskriminalamts (LKA) zurückgreifen.“
„Durch zeitnahe und fortlaufende Informationen und Sensibilisierungsmaßnahmen wird die Belegschaft auf einen entsprechenden sensiblen Umgang mit E-Mails und Sozialen Medien trainiert.“
„Für den Fall der Betroffenheit greifen eingespielte Eskalationspfade und Prozesse, die ein effizientes und effektives situationsabhängiges Handling ermöglichen.“
„Ein deutlicher Anstieg von pandemiebedingten Cyber-Attacken ist nicht nachweisbar.“
Bundesministerium für Bildung und Forschung (BMBF)
„Im BMBF kommt ein Informationssicherheitsmanagementsystem auf Basis des IT-Grundschutzes zur Anwendung, mit dem das Schutzniveau permanent bewertet und verbessert wird. Dies schließt sowohl die proaktive Suche nach Schwachstellen als auch die Erarbeitung und Anpassung von Strategien zur Sicherheitsvorfallsbearbeitung mit ein.“
„Entscheidungen im Rahmen einer Risiko- beziehungsweise Schadensminimierung hängen von vielen Faktoren ab, die sich im Vorfeld nicht bestimmen lassen. Während beispielsweise bei klassischen Ransomware-Angriffen einer Verschlüsselung mit einer engmaschigen Datensicherungsstrategie begegnet werden kann, verschärft sich die Situation durch Hackergruppierungen, die die erbeuteten Datensätze im Falle einer Zahlungsverweigerung offenlegen. Unter Berücksichtigung ihres Schutzbedarfs und gegebenenfalls der Einbeziehung von Sicherheitsbehörden – wie der Polizei oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – sollte diejenige Strategie gewählt werden, die die geringsten Auswirkungen auf die betroffene Institution hat.“
„Da das BMBF als Teil der Bundesverwaltung zusätzlich auf zentrale Detektions- und Schutzmechanismen des Bundes zurückgreifen kann und erhöhten Sicherheitsanforderungen unterliegt, sind die Hürden, die es für Angreifer zu überwinden gilt, hoch. Gleichwohl kann nicht ausgeschlossen werden, dass im Einzelfall ein Datenabfluss insbesondere empfindliche Schäden unter dem Gesichtspunkt des Immaterialgüterrechts für den Betroffenen nach sich ziehen kann. Betrachtet man jedoch den bisherigen Angriffsverlauf auf das BMBF, ist das Risiko insgesamt allenfalls als moderat zu bewerten.“
„Wissenschaft und Forschung gehören neben den Bereichen Rüstung, Verteidigung sowie außenpolitische Strategien und Entscheidungen seit jeher zu den Hochwertzielen insbesondere fremder Nachrichtendienste. Dementsprechend war die Bedrohungslage im Cyberraum schon vor Beginn der Pandemie angespannt und erfordert adäquate Sicherheitsvorkehrungen. Werden diese konsequent umgesetzt und Sicherheitsereignisse ernsthaft verfolgt und aufgearbeitet, stehen die Chancen gut, dass das Sicherheitsniveau trotz einer gesteigerten Angriffshäufigkeit innerhalb der Toleranzen verbleibt.“
„Das BMBF ist Ziel von mannigfaltigen Angriffen. Dementsprechend sind die Abwehrstrategien. Sie umfassen beispielsweise den Einsatz von Virenschutzprogrammen oder die Härtung von Systemkonfigurationen, erstrecken sich aber auch auf organisatorische Maßnahmen wie die Sensibilisierung von Mitarbeiterinnen und Mitarbeitern oder die Absicherung von Geschäftsprozessen.“
VolkswagenStiftung
„Die VolkswagenStiftung nutzt umfassende und laufend angepasste Sicherungsmaßnahmen, unter anderem entsprechende Sicherheits-Software sowie Netzwerk-Segmentierung, um Cyberattacken vorzubeugen beziehungsweise den Schaden gegebenenfalls zu minimieren. Die relevanten Systeme werden laufend überwacht und regelmäßig gewartet. Ein Notfallmanagement-Plan ist implementiert.“
Auf die Frage nach dem Risiko, dass Daten zu Forschungsvorhaben und -finanzierung bei Angriffen in die Öffentlichkeit geraten und dem möglichen Schaden dadurch:
„Da absoluter Schutz in diesem Bereich kaum möglich ist, bleibt ein Restrisiko, dass solche Daten in die Öffentlichkeit geraten könnten. Der hypothetische Schaden für die Stiftung bestünde zum einem in einem Reputationsverlust, zum anderen könnten sich bei missbräuchlicher Veröffentlichung von personenbezogenen Daten schlimmstenfalls juristische Folgen für die Stiftung ergeben.“
Auf die Frage, inwiefern Cyberangriffe in der Pandemie zugenommen haben und welche Angriffe es in der Vergangenheit auf die eigene Institution gab:
„Angriffe auf Forschungsdatenbanken sind kein neues Phänomen und haben, zumindest was die Datensysteme der Stiftung anlangt, während der Pandemie nicht signifikant zugenommen. Bislang gab es keine auffälligen, zielgerichteten Angriffe auf die VolkswagenStiftung.“
Deutsche Forschungsgemeinschaft (DFG)
„Die Deutsche Forschungsgemeinschaft (DFG) hat von den Vorfällen rund um ihre niederländische Partnerorganisation NWO und an niederländischen Universitäten allgemein Kenntnis. Die in der DFG-Geschäftsstelle zuständige Informationstechnik hat die Vorfälle anhand der verfügbaren Informationen so weit wie möglich analysiert. Nach aktueller Informationslage ist die DFG von den Vorfällen nicht betroffen.“
„Auch die DFG hat als die größte Forschungsförderorganisation in Deutschland in der Vergangenheit wiederholt Angriffsversuche auf ihre Sicherheitssysteme registriert, die bislang jedoch abgewehrt werden konnten. Diese Angriffe haben nach unserer Beobachtung zuletzt insgesamt zugenommen, was nach unserer Einschätzung und dem Austausch mit anderen Einrichtungen auch für das Wissenschaftssystem insgesamt gilt. Die DFG wird auch die aktuellen Vorfälle rund um die NWO nach Möglichkeit dazu nutzen, ihre eigenen Sicherheitssysteme weiter zu optimieren. Dabei muss als allgemeines Risiko-Szenario der IT-Sicherheit mitgedacht werden, dass nicht beziehungsweise noch nicht entdeckte Angriffe das eigentliche Problem sind.“
„Das mögliche Verhalten in einem Erpressungsfall kann sich nur am konkreten Einzelfall orientieren und wäre in jedem Fall ausschließlich Gegenstand interner Entscheidungsfindung.“
Leibniz-Gemeinschaft
„Aktuell können wir keinen signifikanten Anstieg von Angriffen speziell auf Forschungseinrichtungen erkennen. Versuchte Angriffe und eine potenzielle Gefahr sind kontinuierlich vorhanden, eine signifikante Zunahme sehen wir aus unserer Perspektive aktuell aber nicht. Größere Gefährdungslagen aus Leibniz-Instituten sind uns in unserer dezentralen Organisation nicht bekannt. Die dezentrale IT-Infrastruktur mindert das Gefahrenpotenzial deutlich. Unserer Einschätzung nach sind die Leibniz-Institute auf dem Feld der IT-Sicherheit recht gut aufgestellt; Fragen der IT-Sicherheit werden institutsübergreifend im Arbeitskreis IT der Leibniz-Gemeinschaft regelmäßig diskutiert und mit Fortbildungen bearbeitet.“
Deutscher Akademischer Austauschdienst (DAAD)
„Der DAAD hat seit mehreren Jahren einen Informationssicherheitsbeauftragten (ISB) und ein Managementsystem für die Informationssicherheit (ISMS) gemäß IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Teil dieses Systems ist ein regelmäßig aktualisiertes IT-Sicherheitskonzept, um den DAAD vor Risiken bei der Informationsverarbeitung zu schützen. Zur Vermeidung bekannter Angriffswege bei Cyberattacken haben wir ein ganzes Bündel aus präventiven und reaktiven Maßnahmen etabliert. Genaue Details können wir aus Sicherheitsgründen nicht näher beschreiben. Wir prüfen die Maßnahmen fortlaufend auf ihre Wirksamkeit und passen sie bei Bedarf an.“
Auf die Frage nach der möglichen Reaktion auf einen Ransomware-Angriff:
„Im DAAD sind Melde- und Eskalationsprozesse vorhanden, sodass alle betroffenen internen und externen Stellen zeitnah über einen solchen Vorfall informiert werden. Zudem haben wir im DAAD Prozesse zur Wiederherstellung betroffener Daten aus regelmäßig durchgeführten Datensicherungen, die in diesem Falle greifen würden. Mit Blick auf die Zahlung von Lösegeld folgt der DAAD der in der IT-Sicherheitsszene vorherrschenden kritischen Meinung: Durch die Zahlung solcher Gelder besteht keine Garantie, dass die Angreifer erbeutete Daten wieder an die betroffene Organisation zurückgeben oder von einer ungewollten Offenlegung absehen.“
Auf die Frage nach dem Risiko, dass Daten zu Forschungsvorhaben und -finanzierung bei Angriffen in die Öffentlichkeit geraten und dem möglichen Schaden dadurch:
„Trotz aller getroffenen Sicherheitsmaßnahmen können wir im DAAD ein solches Szenario nicht zu 100 Prozent ausschließen. Wir tauschen im DAAD Daten mit vielen anderen Institutionen aus, so etwas erhöht natürlich das Risiko, dass sich Cyberangriffe von einer betroffenen Institution auf weitere ausbreiten. Für uns ist daher das fortlaufende Bewerten und das Nachjustieren der Sicherheitsmaßnahmen gegen Ransomware-Angriffe unerlässlich. Eine pauschale Aussage zu einem möglichen Schadensausmaß können wir vorab nicht treffen, da dies vom konkreten Schutzbedarf der betroffenen Daten abhängen würde.“
Auf die Frage, inwiefern Cyberangriffe in der Pandemie zugenommen haben und welche Angriffe es in der Vergangenheit auf die eigene Institution gab:
„Das erfreulicherweise gestiegene Interesse an Wissenschaft und Forschung führt leider auch dazu, dass Wissenschaftsorganisation zunehmend in den Fokus von Cyberkriminellen rücken. Hierbei macht sich die – im fachlichen Kontext positiv zu bewertende – starke Vernetzung der Organisationen leider auch negativ bemerkbar. Angriffe können so schnell Auswirkungen über Organisationsgrenzen hinweg haben. In der Corona-Pandemie mussten viele Institutionen ihre Arbeitsweisen zudem sehr kurzfristig und abrupt auf mobile Arbeit umstellen, was die Sicherheitslage vieler Wissenschaftsorganisationen nochmals verschärft hat.“
„Wir nutzen – wie andere Institutionen auch – mehrere externe Schnittstellen zur Kommunikation und zum Datenaustausch. Diese Schnittstellen sind jeden Tag Angriffen ausgesetzt. Zumeist handelt es sich dabei um niederschwellige Angriffe, die durch die getroffenen technischen Sicherheitsmaßnahmen erkannt und verhindert werden. Dennoch kommt es auch gelegentlich zu gezielteren Angriffen, zumeist in Verbindung mit konkreten Phishing-Nachrichten. An dieser Stelle greifen technische Sicherheitsmaßnahmen typischerweise nicht mehr so gut – umso wichtiger ist daher die fortlaufende Sensibilisierung der Belegschaft zu diesen Themen.“
Europäische Kommission
„Die Kommission verfolgt und untersucht aufmerksam Bedrohungen der Cybersicherheit, die die Organe, Einrichtungen und Agenturen der EU betreffen könnten. Wir nehmen Cybersicherheit sehr ernst, wenden strenge Richtlinien zum Schutz unserer Infrastrukturen und Geräte an und untersuchen jeden Vorfall. Unsere Cybersicherheitsmaßnahmen konzentrieren sich auf Vorbereitung, Schutz und Verteidigung, um eine schnelle und agile Reaktion auf Angriffe oder Einbruchversuche zu ermöglichen. Im Dezember 2020 haben wir eine neue EU-Cybersicherheitsstrategie und neue Vorschriften vorgestellt, um physische wie digitale kritische Infrastrukturen widerstandsfähiger zu machen, die kollektive Widerstandsfähigkeit Europas gegen Cyberangriffe zu stärken und dazu beizutragen, dass alle Bürger und Unternehmen in vollem Umfang von vertrauenswürdigen und zuverlässigen Diensten und digitalen Tools profitieren können.“
Auf die Frage wie sich der European Research Council (ERC) auf solche Angriffe vorbereitet:
„Der ERC fällt als Exekutivagentur in Bezug auf die Cybersicherheit in den Zuständigkeitsbereich der Kommission. Im Falle einer entdeckten Schwachstelle in den EU-Institutionen, -Agenturen und -Einrichtungen wird sofort eine Reaktion auf den Vorfall eingeleitet. Wir untersuchen jeden Vorfall und versuchen, ihn zu isolieren, um mögliche Auswirkungen auf andere Teile der Organisation zu verhindern. In diesem Zusammenhang fungiert das Computer-Notfallteam aller EU-Institutionen, -Einrichtungen und -Agenturen (CERT-EU) als Drehscheibe für den Informationsaustausch über Cybersicherheit sowie als Zentrum für die Reaktion auf Vorfälle und die Koordinierung zur Unterstützung der IT-Sicherheitsteams der Kommission.“
„Das CERT-EU ist ein ständiges Computer-Notfallteam für die EU-Institutionen, -Agenturen und -Einrichtungen. Es arbeitet eng mit anderen CERTs in den Mitglieds- sowie weiteren Staaten zusammen, sowie mit spezialisierten IT-Sicherheitsunternehmen.“
Auf die Frage nach der möglichen Reaktion auf einen Ransomware-Angriff:
„Die Leitlinie ist, das Lösegeld nicht zu zahlen. Mit effektiven Präventivmaßnahmen können die meisten Ransomware-Angriffe vermieden oder neutralisiert werden. Bei Bedarf können die Response-Teams Unterstützung von der Cyber-Community und den Strafverfolgungsbehörden erhalten. CERT-EU ist nur auf sehr wenige Ransomware-Angriffe gegen seine Mitglieder gestoßen. Alle hatten keine oder nur sehr begrenzte Auswirkungen.“
Auf die Frage, inwiefern Cyberangriffe in der Pandemie zugenommen haben und welche Angriffe es in der Vergangenheit auf die eigene Institution gab:
„CERT-EU beobachtet schon seit vielen Jahren ein erhebliches Interesse an verschiedenen Arten von Daten, mit denen die Mitgliedsorganisationen des CERT umgehen. Die Pandemie hat deutlich gemacht, dass bestimmte Arten von Daten zum Gegenstand verstärkter Cyber-Bedrohungen wurden. Wie bereits erwähnt, nehmen wir die Cybersicherheit sehr ernst und wenden strenge Richtlinien zum Schutz unserer Infrastrukturen und Geräte an. Wir untersuchen jeden Vorfall. CERT-EU unterstützt seine Mitglieder kontinuierlich bei der Sicherung ihrer Daten und hat außerdem praktische Richtlinien und Empfehlungen zur Cybersicherheit herausgegeben, die auf die Bedürfnisse aller EU-Institutionen, Einrichtungen und Agenturen zugeschnitten sind.“
„Seit Beginn der Corona-Pandemie, in deren Verlauf die Europäische Arzneimittel-Agentur (EMA) Opfer eines Cyberangriffs wurde, hat die EU die Zusammenarbeit und Koordination in Fragen der Cybersicherheit zwischen der Kommission, dem Europäischen Auswärtigen Dienst, der EU-Agentur für Cybersicherheit (ENISA), Europol und CERT-EU durch eine COVID-19 Cyber-Taskforce sowie durch eine verstärkte Zusammenarbeit mit den Mitgliedstaaten und internationalen Partnern intensiviert. Dazu gehört die aktive Überwachung der Bedrohungslandschaft und ein regelmäßiger Austausch zur Sicherstellung des Situationsbewusstseins, auch mit Partnern in aller Welt. Dazu gehören auch Strafverfolgungsmaßnahmen sowie der mögliche Einsatz von diplomatischen Maßnahmen. Im April 2020 verurteilte die Erklärung der Hohen Vertreterin im Namen der EU-Mitgliedstaaten die bösartigen Cyber-Aktivitäten, die auf wichtige Betreiber in den Mitgliedstaaten abzielen, und bekräftigte ihre Entschlossenheit, ihre diplomatischen Mittel einzusetzen, um schädliches Verhalten im Cyber-Raum zu verhindern, davon abzuschrecken und zu bekämpfen.“
„Viele der Angriffe auf CERT-EU Mitgliedsorganisationen konzentrieren sich auf den Zugang zu Informationen und Daten. CERT-EU hilft den Mitgliedsorganisationen, sich gegen solche Angriffe zu verteidigen, indem es die allgemeine Sicherheitslage kontinuierlich verbessert und gute Überwachungs- und Erkennungsmechanismen sowie eine schnelle Untersuchung und Behebung von Vorfällen beibehält und verbessert. CERT-EU beobachtet auch genau die Entwicklung der Bedrohungslandschaft und arbeitet eng mit allen betroffenen EU-Institutionen, -Einrichtungen und -Agenturen sowie den zuständigen Behörden zusammen.“
„Die Kommission und andere Institutionen haben auch einen Anstieg von Phishing, Spear-Phishing-Angriffen und Fällen von Identitätstäuschung über soziale Medien festgestellt. Es gibt keine Hinweise auf ernsthafte Auswirkungen auf die Kommission, aber wir bleiben wachsam und sind uns der bestehenden Bedrohungen bewusst. Zusätzlich zu den soliden Sicherheitsmaßnahmen, die wir eingeführt haben, verfügt die Kommission über ein Cyber-Aware-Programm, das es den Mitarbeitern ermöglicht, Risiken zu erkennen und geeignete Maßnahmen zu ergreifen, um die Systeme und Ressourcen der Organisation zu schützen.“
Alle: Keine Angaben erhalten.
Weiterführende Recherchequellen
Science Media Center (2021): Cyberangriffe und Stand der IT-Sicherheit in Deutschland. Stand: 22.01.2021.
Bundesamt für Sicherheit in der Informationstechnik (2020): Die Lage der IT-Sicherheit in Deutschland 2020.
Literaturstellen, die vom SMC zitiert wurden
[III] NWO (26.02.2021): Update: All NWO decisions suspended, ZonMw procedures are going ahead.
[IV] Enserink M (25.02.2021): Dutch research funding agency, paralyzed by ransomware attack, refuses to pay up. Science Magazine.
[V] UK Research and Innovation (17.02.2021): Updated statement in response to the IT incident.
[VI] University of Amsterdam (17.02.2021): AUAS and UvA target of cyber attack (update).
[VII] University of Amsterdam: FAQs Cybersecurity.
Stellungnahme der MPG None
Max-Planck-Gesellschaft (MPG)
Stellungnahme des BMBF None
Bundesministerium für Bildung und Forschung (BMBF)
Stellungnahme der VW-Stiftung None
VolkswagenStiftung
Stellungnahme der DFG None
Deutsche Forschungsgemeinschaft (DFG)
Stellungnahme der Leibniz-Gemeinschaft None
Leibniz-Gemeinschaft
Stellungnahme des DAAD None
Deutscher Akademischer Austauschdienst (DAAD)
Stellungnahme der Europäische Kommission None
Europäische Kommission