Uni Gießen nähert sich nach Hacker-Attacke wieder dem Normalbetrieb

Die Justus-Liebig-Universität Gießen (JLU) erholt sich Schritt für Schritt von einer heftigen Hacker-Attacke. Am heutigen Montag geht die Lehrplattform Stud.IP wieder online. Die Homepage, das Prüfungsverwaltungssystem und digitale Systeme der Universitätsbibliothek sollen in Kürze folgen. Dafür arbeiten IT-Spezialisten quasi seit Weihnachten ohne Unterbrechung durch.

Der Lehrbetrieb soll sich in den kommenden Tagen und Wochen erheblich normalisieren. Wie einer aktuellen Meldung der Uni zu entnehmen ist, konnte die Verwaltung vor Weihnachten für rund 60 Prozent der Mitarbeiter und Studierenden neue Passwörter vergeben. Am kommenden Montag soll eine weitere Kennwort-Vergabe stattfinden. Insgesamt wurden 38.000 Passwörter zurückgesetzt.

Zu diesem Zeitpunkt sollen auch noch weitere Dienste wieder online gehen. Der vollständige Zugang zum JLU-Netz und dem Internet soll aber erst später folgen. Da die Reparaturarbeiten noch nicht komplett abgeschlossen sind, soll der Zugriff auf interne Windowslaufwerke voraussichtlich erst im Februar möglich sein.

Gut reagiert

Am 8. Dezember 2019 wurde die Attacke entdeckt und die Admins der JLU fuhren alle Server runter. Da war der Schädling – vermutlich Emotet – zwar schon im System, durch das Herunterfahren konnten aber alle wissenschaftlichen Daten und die Datenbestände der Verwaltung geschützt werden, versichert ein Sprecher der Hochschule. Seitdem läuft der Lehr- und Forschungsbetrieb in einem Notfallmodus.

Um dem Schadcode auf die Spur zu kommen, setzt die JLU unter anderem auf eine mit Yara-Regeln erweiterte Version des c't-Sicherheitstool Desinfec't. Das Linux-System startet direkt von einem USB-Stick und bringt vier Viren-Scanner mit, die ein inaktives Windows untersuchen. Das Tool hat es sogar in die Hymne der Uni geschafft und Studierende singen in einem Video ab Minute 1:25 "Can you teach me how to Desinfec't". (des)