Besondere Zeiten - besondere Maßnahmen: Corona-bedingt mussten sich Studierende und Beschäftigte binnen kürzester Zeit auf die Arbeit im Homeoffice umstellen. Der Einsatz mobiler Systeme und privater Geräte führte zu neuen Arbeitsumgebungen und Abläufen. Gleichzeitig bahnten sich neue Gefährdungen an: dubiose Webseiten, die allerneueste Lageinformationen versprachen, aber Schadcode auslieferten, Videokonferenzen ohne Rücksicht auf Datenschutz, spezialisierte Angriffe per E-Mail oder Sicherheitslücken nach erleichterten Zugängen aus dem Homeoffice. Besonders die beiden letzteren hielten uns fortwährend in Atem.
Während sich Studierende und Beschäftigte Mitte März auf die Corona-bedingte Schließung und den Notfallbetrieb vorbereiteten, waren auch Cyber-Kriminelle nicht untätig: Zuvor erbeutete Kommunikationsinhalte und Zugangsdaten wurden für breit angelegte Angriffe ausgenutzt. E-Mails als Antwort auf bekannte Mail-Inhalte brachten Schadcode im Anhang mit oder lockten mit Download-Links. Die anfangs in verschlüsselten ZIP-Containern untergebrachten Schädlinge unterliefen so das Radar der Antivirus- und Spamanalyse an der RUB. Anhand der Analyse von Mail-Inhalten konnten wir Infektionen von Systemen und Accounts aufdecken.
Im April warnten Sicherheitsbehörden vor der Existenz von Benutzerkonten mit Trivial-Passwörtern auf RUB-Systemen, deren RDP-Zugänge aus dem Internet erreichbar waren. Die Existenz der Konten war zwar nicht verifizierbar – unserer Empfehlung, den RDP-Zugang zumindest auf das RUB-Netz zu beschränken, mochten dennoch nicht alle Systemadministratoren folgen. Seit dem Cyber-Angriff im Mai ist dies Historie. RDP ist auf dem Standard-Port nur noch aus dem RUB-Netz verfügbar.
Der Cyber-Vorfall im Mai traf Mail- und Exchange-Nutzer an der RUB unvorbereitet und eiskalt. Wer noch Zugriff auf seine Mailbox hatte, war oftmals unsicher, ob die eine oder andere Mail nicht gefährlich war. Jeder Link in E-Mails stand plötzlich unter Verdacht. Zwar konnten Exchange-Nutzer ihre E-Mails kurzfristig über RUB-Mail abwickeln und waren glücklicherweise schnell wieder erreichbar. Dennoch gab es heftige Auswirkungen auf das Mailsystem: die plötzliche Last verursachte Probleme für alle Nutzer, Exchange-Nutzer mussten sich an das Look-and-Feel von RUB-Mail gewöhnen. Es kam, was kommen musste: zahlreiche Phishing-Mails forderten zum Freischalten von E-Mails, Aktivieren von Konten oder Vergrößern von Mailboxen auf. Wer den Links folgte, landete auf gefälschten Webmail-Seiten. Eingegebene Zugangsdaten waren kompromittiert und wurden zum Spam-Versand in die ganze Welt missbraucht.
Um weitere Gefährdungen zu vermeiden, werden betroffene Accounts oder IT-Geräte in der Regel vorübergehend gesperrt. Deren Kompromittierung kann Meldepflichten auslösen (s. BITS-Box). Daher überprüfen wir in solchen Fällen, ob der Vorfall den Schutz personenbezogener Daten gefährdet hat.
Die automatisierte Analyse zur Ermittlung von Schadcode und Spam-Verhalten wird fortlaufend an die aktuelle Lage angepasst. Alle an RUB-Adressen gerichtete E-Mails passieren den zentralen Mailserver, werden dort gegebenenfalls abgewiesen oder als Spam klassifiziert. Die verwendeten Algorithmen aktualisieren ihre Regeln regelmäßig und automatisiert, neue Schädlinge oder Angriffsmuster werden aber nicht immer beim ersten Erscheinen erkannt.
Haben Sie unerkannte Schadcode- oder Spam-Mails erhalten oder gar die Spam-Filterung ausgeschaltet? Handeln Sie bitte stets umsichtig und überprüfen Sie vor dem Klicken auf Anhänge oder Links die Plausibilität der Inhalte. Bitte beherzigen Sie unsere Tipps und Videos zum Erkennen von bösartigen E-Mails und bleiben Sie sicher – auch in Krisenzeiten.
RUBinform 01/2020 | Birgit Steiner