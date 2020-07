Im Visier von Kriminellen: Mit eigens entwickelter Software wird immer häufiger versucht, in Datensysteme einzudringen. Symbolfoto: dpa

GIESSEN. Diesen vorweihnachtlichen Sonntag wird Joybrato Mukherjee ganz sicher niemals mehr vergessen. Denn kurz nachdem Nikolaus auch in Gießen seine Runden gedreht hatte, stand der Justus-Liebig-Universität (JLU) eine ziemlich unerquickliche Bescherung ins Haus: eine Cyberattacke riesigen Ausmaßes. Der "schwerwiegende IT-Sicherheitsvorfall", der alsbald unter dem Schlagwort #JLUoffline weltweit für Aufsehen sorgte, zog allerlei ärgerliche, zeitaufwändige und kostenintensive Konsequenzen nach sich. Und natürlich befassten sich sogleich auch die Strafverfolgungsbehörden mit der "Kompromittierung durch die neuartige Ransomsoftware Ryuk". Dennoch hielt die wochenlange Krisenbewältigung für dem JLU-Präsidenten auch einen durchaus romantischen Aspekt bereit: "Ich war vom 9. Dezember an von der Art beeindruckt, wie die Universität mit dieser Herausforderung umgegangen ist und es nach wie vor tut", versicherte der 46-Jährige im Februar im Senat. Und fügte hinzu: "Ich habe mich dadurch ein bisschen neu in die Universität verliebt."

Mit dieser etwas "pathetischen Formulierung" kündigte Mukherjee damals seine erneute Kandidatur um den Chefsessel in der Ludwigstraße 23 an. Und inzwischen ist auch bekannt, mit welchen Ausgaben dieses Herzhüpfen verknüpft ist: "Für den Zeitraum vom 8. Dezember 2019 bis Mitte April 2020 sind gemäß der Rückmeldungen Gesamtkosten von rund 1,7 Millionen Euro entstanden", heißt es im kürzlich vorgelegten "Rechenschaftsbericht des Präsidiums" für das vergangene Jahr.

Davon entfallen auf Personalkosten eine Million Euro. Diese umfassen Arbeitsstunden für Maßnahmen der Fehlerbewältigung wie "Scanverfahren, Einsatz von Paten und zusätzliches Personal". Zudem wurden für die Beschaffung von Hard- und Software sowie die Unterstützung externer Firmen Sachkosten in Höhe von 700 000 Euro ausgegeben. "Der überwiegende Kostenanteil im Umfang von 1,2 Millionen Euro entfällt auf das Hochschulrechenzentrum (HRZ)."

Für die Behebung der Störungen sei vorsorglich im Jahresabschluss zum 31. Dezember 2019 eine Rückstellung von insgesamt 1,25 Millionen Euro gebildet worden. Dafür war zu berücksichtigen, "dass diese grundsätzlich nur Kosten umfassen darf, die für die unmittelbare Schadensbeseitigung und Wiederherstellung erforderlich sind und im Geschäftsjahr 2020 anfallen".

#JLUoffline sind knapp zwei des 31 Seiten umfassenden Rechenschaftsberichts gewidmet. Dabei werden der Cyberangriff und die ergriffenen Maßnahmen noch einmal rekapituliert. Durch die Trennung der JLU vom Internet und das geordnete Herunterfahren der Server und Speichersysteme "konnten größere Datenverluste weitestgehend vermieden werden". Und nachdem sofort an dem Schreckenssonntag eine erste Krisensitzung stattgefunden hatte, sei bereits am Montag ein Krisenstab eingesetzt worden. "Zentrale Herausforderungen waren vor allem die adressatenorientierte Bereitstellung von gesicherten Informationen für Mitglieder und Angehörige der JLU, die Organisation von Virenscans für alle betroffenen Einrichtungen der JLU und die Ausgabe neuer Passwörter für alle JLU-Accounts", lässt sich nachlesen. Aber es gibt wohl kaum Mitarbeiter oder Studierende der Hochschule, die sich nicht an das Anstellen für die verklebten Briefumschläge mit den neuen Zugängen zu ihren elektronischen Postfächern erinnern.

Um den Informationsfluss innerhalb der Hochschule zu gewährleisten, sei das universitäre Krisenmanagement parallel auf verschiedenen Ebenen tätig geworden: Krisenhotlines, eine Behelfshomepage, Nachrichten über die Social Media-Kanäle sowie über "zehn Übergangs-Mailadressen für das Präsidium und kritische Bereiche".

Die Hauptlast hatte zweifellos das HRZ zu tragen. Dort wurden sofort "Action Teams" für die Gebiete Datennetz, Endgeräte-Scans, Produktion von USB-Sticks für Virenscans, Clients und Linux- sowie Windows-Server eingerichtet. "Diese Teams hatten die Aufgabe, die für ihren Sachbereich relevanten Arbeitspakete zu benennen und gezielt umzusetzen." Und das offenbar mit Erfolg: Nach zehn Tagen konnten wieder munter E-Mails verschickt werden. Obendrein waren für die Wiederaufnahme des Lehrbetriebes nach der Weihnachtspause "alle dafür wichtigen digitalen Funktionen wiederhergestellt", so das Fazit.

Selbstredend werden die Erfahrungen mit dem digitalen Virenangriff ausführlich mit dem Wissenschaftsministerium erörtert. Schließlich könnten davon auch andere Landeseinrichtungen profitieren. "In 2020 wird die JLU intensiv an der Umsetzung einer nachhaltigen und an den Bedarfen von Forschung, Lehre und Verwaltung ausgerichteten IT-Governance- und IT-Sicherheitsstrategie arbeiten", kündigt das Präsidium an. Besonders berücksichtigt werden sollen die Ergebnisse und Empfehlungen der im Januar erfolgten Evaluation des HRZ. Diese hatten die JLU-Verantwortlichen schon ein Jahr vor #JLUoffline initiiert. Doch die Gefahr von kriminellen Attacken ist längst nicht gebannt. "Die Webseite der Lernplattform Ilias wurde von Angreifern nachgebildet, um Benutzername und Passwort von Mitgliedern und Angehörigen der JLU auszuspähen", warnte am Dienstag das HRZ in einer Rundmail. "Abgeflossene Benutzernamen und Passwörter können von Angreifern potenziell für schadhafte Zwecke verwendet werden." Damit wurde auch gleich eine Handlungsanweisung versendet. Und der Hinweis: "Das Hochschulrechenzentrum hat die entsprechenden Webadressen dieser Phishing-Seite im JLU-Netz (intern) bereits blockiert." Über ein anderes Netzwerk (zum Beispiel LTE am Smartphone oder Wlan zu Hause) könnte die gefährdende Webseite jedoch aufgerufen werden. Eine Anfrage des Anzeigers bei der Unipressestelle zu weiteren Details blieb bis zum Redaktionsschluss unbeantwortet.

Wem die Hochschule die vorweihnachtliche Überraschung zu verdanken hat, ist allerdings noch immer unklar. "Wir haben keine neuen Erkenntnisse zum Täter oder einer Tätergruppe", so Mukherjee Mitte Juli im Senat zu den Informationen der ermittelnden Frankfurter Generalstaatsanwaltschaft. Womöglich findet sich dazu Konkreteres im Rechenschaftsbericht 2020. Kaum Zweifel gibt es indes schon jetzt daran, dass dann ein noch folgenreicheres Virus im Mittelpunkt stehen wird.