Shutdown der IT-Infrastruktur: Malware befällt Katholische Hochschule Freiburg

Der Lehrbetrieb an der Katholischen Hochschule Freiburg (KH) läuft derzeit nur eingeschränkt, Verwaltungsmitarbeiter wurden früher in den Urlaub geschickt.

In Pocket speichern vorlesen Druckansicht 122 Kommentare lesen
Shutdown der IT-Infrastruktur: Emotet befällt katholische Hochschule Freiburg

(Bild: Sergey Dzyuba / Shutterstock)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Die Katholische Hochschule Freiburg (KH) in Freiburg im Breisgau hat am vergangenen Dienstag ihr komplettes Netzwerk abgeschaltet. Betroffen von diesem Schritt sind laut einem Facebook-Beitrag von Mittwochvormittag "sämtliche hochschuleigenen IT-Services, Portale, Plattformen, Netzwerke und Kommunikationsmöglichkeiten".

Dem Facebook-Beitrag ist weiterhin zu entnehmen, dass das Hochschul-Team daran arbeitet, das Problem in den Griff zu bekommen und die Services wieder bereitzustellen. Es entschuldigt sich auch für die aus dem Shutdown resultierenden Verzögerungen in Verwaltungsangelegenheiten.

Auf Facebook schrieb die Hochschule zunächst lediglich, dass der Schritt "aus Sicherheitsgründen" erfolgt sei. Wie unter unter anderem die Badische Zeitung (BZ) berichtet, soll allerdings eine Infektion mit der Schadsoftware Emotet dahinterstecken, deren Ausbreitung durch den Shutdown verhindert werden sollte.

Wie Emotet auf die Rechner gelangte, geht aus dem BZ-Artikel nicht hervor. Allerdings ist bekannt, dass es momentan wieder verstärkt zu Emotet-Infektionen kommt – und dass der Schädling oft mittels gut gemachter Dynamit-Phishing-Mails auf die Rechner gelangt.

Der neueste Dreh derzeit: Statt das trojanisierte Dokument direkt an die Mail anzuhängen, versenden die Kriminellen Mails mit Links auf Web-Seiten, die Emotet ausliefern. So umgehen sie offenbar die mittlerweile besser trainierten Spam-Filter. Kürzlich infizierte Emotet zudem Behörden der Bundesverwaltung und stahl dabei Informationen und Dokumente zu Phishing-Zwecken. Nun kursieren besonders überzeugend wirkende Emotet-Phishing-Mails im Namen mehrerer Bundesbehörden.

Auch die Uni Gießen ist derzeit nach einem Schädlingsbefall – wohl ebenfalls durch Emotet – mit Aufräumarbeiten beschäftigt.

Pierre Mücke, Referent an der KH, sagte gegenüber der BZ, dass sich der entstandene Schaden noch nicht genau abschätzen lasse. Die Verwaltung sei vollständig lahmgelegt und die Mitarbeiter vorzeitig in den Urlaub geschickt worden. Der Lehrbetrieb laufe "mit Einschränkungen" weiter.

Ärgerlich sei der Vorfall besonders auch deshalb, weil man in den letzten Jahren viel Geld in die IT-Infrastruktur und -Sicherheit gesteckt habe. Offenbar, so ist den Zitaten im BZ-Artikel zu entnehmen, wähnte sich das Team, auf solche Zwischenfälle gut vorbereitet – und war dann doch überfordert: "Das hat uns überrollt."

[Update 20.12.2019 – 11:00 Uhr] Gegenüber heise online hat der Leiter der IT-Abteilung der Hochschule dem Eindruck des BZ-Artikels am Freitag entschieden widersprochen und erläutert, wie schnell auf den Vorfall reagiert worden sei. Ihm zufolge war eine E-Mail Ausgangspunkt, die als Antwort auf eine Bitte um ein Dokument die getarnte Schadsoftware enthalten habe. Als sich das angeforderte Dokument nicht geöffnet habe, sei umgehend die IT-Abteilung informiert worden und schon 13 Minuten nach der Infektion der Client vom Netz genommen worden.

Dank der schnellen Reaktion sei offenbar kein weiterer Client infiziert worden. Als die bei der Analyse gefundenen Schadsoftware erst mit Verspätung vom ersten Virenhersteller als Emotet erkannt worden sei, habe man dann die komplette IT offline genommen, um gründlich analysieren zu können. Alle empfohlenen Schritte, inklusive systemweiter Zurücksetzung der Passwörter seien dann unternommen worden. Nach gerade einmal zwei Tagen habe man die Netzverbindungen wieder herstellen können.

(ovw)