Hackerangriff Hamburger Hochschule wird erpresst
Die Hackergruppe "Vice Society" hat sich zur Cyberattacke auf die HAW Hamburg bekannt. Nach Informationen des ARD-Politikmagazins Kontraste droht sie, erbeutete Daten zu veröffentlichen. US-Sicherheitsbehörden vermuten die Angreifer in Russland.
Von Sascha Adamek und Daniel Laufer, rbb
Das WLAN ist abgeschaltet, genauso die meisten Computer - aus Sicherheitsgründen. Nichts geht mehr am Campus der landeseigenen Hochschule für Angewandte Wissenschaften (HAW) in Hamburg. Studierende und Professoren kommen seit einer Cyberattacke im Dezember nicht einmal mehr an ihre E-Mails.
Schlimmer noch: Es gibt konkrete Hinweise darauf, dass Daten von ihnen bald im Netz landen könnten. Nach Informationen des ARD-Politikmagazins Kontraste haben die Angreifer auf dem Server der HAW ein Textdokument hinterlassen: "All Ihre Dateien wurden von der 'Vice Society' verschlüsselt", heißt es darin in fehlerhaftem Englisch.
Um dies rückgängig zu machen - die Dateien also wieder entschlüsseln zu können -, solle die Hochschule der Hackergruppe eine E-Mail schicken und einen nicht näher benannten Betrag zahlen. "Wenn Sie uns nicht innerhalb von sieben Tagen kontaktieren, werden wir die Dateien ins Darknet hochladen", behaupten die Angreifer. Das war kurz nach Weihnachten.
Schadcode verschont russische Computer
Passiert ist seither wenig. Doch es gibt kaum Zweifel daran, dass die Drohung ernst gemeint ist. Kontraste konnte eine Reihe von Datensätzen einsehen, die "Vice Society" bei früheren Beutezügen erlangt hat. Mindestens achtmal hat die Gruppe danach in Deutschland zugeschlagen.
Nach eigener Darstellung hat "Vice Society" seit 2021 weit mehr als 100 Ziele in meist westlichen Ländern attackiert - darunter Banken, öffentliche Verwaltungen, Firmen aus der Gesundheitsbranche. Einer Mitteilung des FBI zufolge konzentriert sich die Gruppe "unverhältnismäßig stark auf den Bildungssektor". Die US-Bundespolizei vermutet sie in Russland.
Offenbar länderspezifischer Angriff
Eine Spur, die dorthin führt, gibt es womöglich auch beim Angriff in Hamburg: Zum Einsatz kam laut HAW die Variante eines Programms, das unter dem Namen "Zeppelin" bekannt ist. Sicherheitsforscher haben es vor Jahren untersucht und herausgefunden, dass die Software die Sprache und Länderkennung des jeweiligen Computers überprüft.
Ein möglicher Hinweis auf die Herkunft der Entwickler: Ausgeführt wird der Schadcode standardgemäß nur dann, wenn das Programm sein Angriffsziel außerhalb von Russland, der Ukraine, Belarus und Kasachstan wähnt - andernfalls bleiben die Dateien unverschlüsselt. "Zeppelin" ist allerdings älter als "Vice Society", die Gruppe hat das Programm wohl nicht selbst geschrieben. Bekannt ist, dass sie für ihre Angriffe wechselnde Schadsoftware verwendet.
Cyberangriff könnte mit Phishing-E-Mail begonnen haben
Mittlerweile hat die HAW Anzeige erstattet. Ihr Sprecher wollte sich "aus ermittlungstaktischen Gründen" nicht zum Bekennerschreiben der Gruppe äußern. Sie nimmt nach Kontraste-Informationen offenbar an, dass die Angreifer zunächst an Zugangsdaten zu einem gewöhnlichen Benutzerkonto gelangt sind. Möglicherweise gibt es einen Zusammenhang zwischen der Attacke mit der Schadsoftware "Zeppelin" und einem Vorfall, der der IT-Abteilung bereits drei Wochen zuvor Sorgen bereitet hatte.
Sie hatte damals in einem internen Schreiben, das Kontraste vorliegt, vor einer sogenannten Phishing-E-Mail gewarnt. Bei dieser Betrugsmasche versuchen Angreifer, sich mithilfe gefälschter Absender etwa Zugangsdaten von Benutzerkonten zu erschleichen. Die Phishing-E-Mail forderte Empfänger auf, ihr HAW-Passwort auf einer Website einzugeben, die gar nicht der HAW gehörte.
Wenige Stunden reichten offenbar aus
Die Hochschule bemerkte den Angriff nach Angaben ihres Sprechers am 27. Dezember. "Vice Society" bahnte sich offenbar einen Weg durch das Netzwerk. Als die HAW Gegenmaßnahmen ergriff und ihr System herunterfuhr, hatten die Angreifer aber offenbar längst Administratorrechte erlangt, waren bis zum zentralen Speichersystem vorgedrungen, hatten Dateien verschlüsselt und Sicherheitskopien gelöscht. Die Attacke dauerte insgesamt wohl nur ein paar Stunden.
Ein Sprecher der HAW sagte Kontraste, insgesamt sei eine "signifikante Menge an Daten abgeflossen". Laut einer Mitteilung auf der Webseite der Hochschule geht diese davon aus, dass die Angreifer auch persönliche Daten von Studierenden und Beschäftigten erbeutet haben. Zudem sei es möglicherweise gelungen, "in Einzelfällen Passwörter hochschulferner Accounts wie beispielsweise von Amazon, Ebay et cetera auszulesen". Einige wenige Angehörige der Hochschule hätten berichtet, dass Unbekannte bereits versucht haben, sich in ihrem Namen auf anderen Websites anzumelden.
Hochsensible Daten im Darknet veröffentlicht
Der HAW könnte es bald ähnlich ergehen wie der Verwaltung von Witten, in deren Systeme "Vice Society" im Oktober 2021 eingedrungen war. Erbeutet wurden dort hochsensible Daten, die die Verwaltung nicht ausreichend geschützt hatte. Abrufbar ist nun zum Beispiel der detaillierte Bericht über einen sexuellen Übergriff, zu dem es in der nordrhein-westfälischen Stadt gekommen sein soll. Auch der vollständige Name der betroffenen Person ist zu lesen. "Gesetze sind uns egal", schreibt "Vice Society" auf ihrer Website. "Wir veröffentlichen immer alles."
Bei der Stadt Suhl in Thüringen brachen die Hacker im März 2022 ein. Die Gruppe veröffentlichte unter anderem eine Übersicht mit Melderegisterauskünften, die das Ordnungsamt eingeholt hatte - im Zusammenhang mit einer Waffenerlaubnis.
Kreisbehörde ebenfalls betroffen
Die Kreisverwaltung Rhein-Pfalz fiel "Vice Society" im Oktober 2022 zum Opfer. 3691 Bürger seien "in einem weitergehenden Ausmaß von dem Datenklau betroffen", teilte die Behörde Kontraste mit. Herunterladen lassen sich inzwischen Ausweispapiere von Menschen, die offenbar seit Kriegsbeginn aus der Ukraine geflüchtet sind. Mitarbeitende der Behörden hatten Scans der Dokumente abgespeichert.
Abgeflossen ist zudem ein Passwort, mit dem sich die Kreisverwaltung beim Informationssystem "Katwarn" einloggen konnte. Dieser Zugang sei noch vor Veröffentlichung der Daten gesperrt worden: Es seien bereits verdächtige Aktivitäten festgestellt worden. Mittels "Katwarn" lassen sich Katastrophenmeldungen an die Bevölkerung absetzen.