Aktuelles

30/09/2020

Bilanz IT-Sicherheitsvorfall: Zentrale Systeme geschützt, nur einzelne E-Mail-Postfächer betroffen

Nach einem am 28. Juli festgestellten IT-Sicherheitsvorfall zieht die Studienstiftung Bilanz: „Durch das schnelle und umfassende Eingreifen unserer IT konnten wir größeren Schaden abwenden“, sagt Dr. Annette Julius, Generalsekretärin der Studienstiftung. „Den Angreifern ist es nicht gelungen, in unsere Datenbank oder andere zentrale Systeme der Studienstiftungs-IT einzudringen.“

Analyse und Forensik

Ausgangspunkt für den IT-Sicherheitsvorfall in der Studienstiftung war das Anklicken eines Links in einer gefälschten E-Mail. Dadurch wurde ein Schadprogramm geladen, dessen spezifisches Verhalten (Erzeugung von gefälschten E-Mails mit Links) auf ein Emotet-Virus schließen lässt.

Nach Stand der bisherigen Analyse sind in einer ersten Phase E-Mail-Adressen und deren Anzeigenamen aus dem Posteingang von vier Postfächern abgegriffen worden, um diese in gefälschten Nachrichten als Empfänger und angebliche Absender einzufügen. In einer zweiten Phase wurden zusätzlich Teile des Inhalts von früherer E-Mail-Kommunikation ausgeleitet, die dann in E-Mails an ihre ursprünglichen Absender bzw. Empfänger zur Verbreitung des Virus genutzt wurden.

Vom Schadprogramm wurden somit E-Mails abgezogen, weitere Daten oder Systeme der Studienstiftung sind nach jetzigem Kenntnisstand nicht kompromittiert. Wir gehen daher davon aus, Opfer eines breitflächig gestreuten, aber nicht gezielten Angriffs geworden zu sein.

Umgesetzte IT-Maßnahmen

Die Studienstiftung hat während des IT-Sicherheitsvorfalls auf die zusätzliche externe Expertise des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie von Datenschutz- und IT-Experten für das Incident Response Management sowie die Forensik aufgebaut.

Nach der Identifikation des Auslösers von gefälschten Mails mit Absender Studienstiftung am 28. Juli wurde als Sofortmaßnahme die Netzwerkverbindung des betroffenen virtuellen Rechners getrennt. Die virtuelle Maschine wurde außerdem aus Sicherheits- und Datenschutzgründen standardgemäß zurückgesetzt. Für die Analyse konnte das heruntergefahrene Benutzerprofil teilweise rekonstruiert werden. In diesem wurden jedoch keine weiteren Spuren von Schadprogrammen gefunden.

Im weiteren Verlauf wurde ein Incident Response-Agent eingesetzt, der systemweit atypisches Verhalten scannt und Artefakte sucht, die für die Schadsoftware typisch sind. Dieser hat bislang keine Indizien für eine weitere Infektion ausfindig gemacht. Es wurde ebenfalls ein Unified Threat Management-System (UTM) installiert. Mit diesem Tool wird der Datenverkehr nach außen kontrolliert. Die Auswertung dieser Analyse ist noch nicht abgeschlossen. Zum jetzigen Zeitpunkt gibt es keine Hinweise dafür, dass das Virus weiter aktiv ist. Die Backups der Studienstiftung waren auch vor dem Vorfall schon physisch getrennt und sind nicht für Viren zugänglich.

Als weitere Sicherheitsmaßnahme lassen wir seit dem Vorfall den Internetzugang aus dem internen Netzwerk der Studienstiftung nur in stark eingeschränktem Umfang zu, so dass ein Datenaustausch nach außen verhindert bzw. auf das Nötigste (Whitelist) begrenzt wird.

Kommunikation

Seit dem 28.7., als die Schadsoftware in einem virtuellen Rechnerprofil der Studienstiftung festgestellt wurde, informieren wir mit jeweils aktuellem Stand auf unserer Website. Auch über sämtliche internen Kommunikationskanäle, von denen wir sicher sein konnten, dass hierüber keine Schadsoftware weiterverbreitet wird, hatten wir bereits bei Bekanntwerden der ersten Phishingwelle Warnhinweise veröffentlicht: Über das Daidalosnet sowie Forum Studienstiftung konnten wir so potenziell rund 17.000 bzw. über 45.000 registrierte Nutzerinnen erreichen. Extern haben wir zusätzlich auf unseren Social Media-Seiten auf Facebook, Instagram und Twitter über den IT-Sicherheitsvorfall informiert.

Nach gewissenhafter Prüfung von IT-Sicherheits- und Datenschutzfragen konnten wir uns am 6.8. via E-Mail an über 70.000 aktuell und ehemalig Geförderte sowie Vertrauensdozentinnen und -dozenten wenden.

Die Studienstiftung hat zudem die entsprechenden Aufsichtsbehörden informiert und den Angriff zur Anzeige gebracht.

Weitere Informationen