Informationsveranstaltungen zum IT-Angriff

00:00 Agenda und Vorstellung der Podiumsteilnehmer*innen (Stefanie Terp)

03:35 Was ist passiert und welche Daten sind abgeflossen? (Prof. Dr. Christian Thomsen)

07:05 Welche Dimension hat der IT-Angriff? (Dr. Matthias Reyer)

09:50 Welche Rolle spielt der Datenschutz? (Annette Hiller)

12:01 Welche Maßnahmen hat die TU Berlin ergriffen und wie geht es weiter? (Dr. Matthias Reyer und Vincent Rockenfeld)

24:11 Welche Zwischenlösungen gibt es für Kernprozesse aus der Verwaltung? (Lars Oeverdieck)

30:30 Sind private Heimnetzwerke, Rechner im Homeoffice sowie Rechner, auf denen der tubCloud-Client lief, möglicherweise kompromittiert? (Dr. Matthias Reyer)

31:36 Besteht die Möglichkeit, dass durch Homeoffice und den damit verbundenen dienstlichen VPN-Zugriff auch die Heimnetzwerke und die privaten Rechner angegriffen wurden? (Dr. Matthias Reyer)

32:17 In der tubCloud liegen zum Teil sensible Daten aus Forschung und Verwaltung. Warum kann kein Read-only-Zugriff auf diese Daten ermöglicht werden? (Dr. Matthias Reyer)

33:06 Werden Beschäftigte auf alle alten E-Mails, E-Mail-Unterordner und alte Dateien wieder zugreifen können oder ist hier definitiv etwas verloren gegangen, bzw. definitiv nicht wiederherstellbar? (Dr. Matthias Reyer)

33:38 Wird der Neuaufbau der IT-Systeme mit freier bzw. Open-Source-Software anstelle von proprietärer Software erwogen? (Dr. Matthias Reyer)

35:30 Ist eine auf Microsoft fokussierte Infrastruktur überhaupt dauerhaft sicher zu betreiben? (Dr. Matthias Reyer)

36:36 Wohin sind die Daten abgeflossen? Weiß man, wer dahinter steckt? (Dr. Matthias Reyer)

36:59 War zum Zeitpunkt des Angriffs das IT-System der TU Berlin auf dem dann aktuellsten Stand, was z.B. Sicherheitsupdates angeht? (Dr. Matthias Reyer)

37:38 Wie war das TU-Passwort kryptografisch gesichert? (Dr. Matthias Reyer)

38:20 Wird der Vorfall Auswirkungen auf die zukünftige Personalpolitik im IT-Bereich haben? (Lars Oeverdieck)

39:58 Können die durch den IT-Angriff nötigen Maßnahmen für einen Bürokratieabbau genutzt werden? (Lars Oeverdieck)

41:38 Was bedeutet der IT-Angriff im Speziellen für Student*innen? (Prof. Dr. Hans-Ulrich Heiß)

45:24 Welche Services im Referat Prüfungen sind momentan möglich und welche nicht? (Jana Weber)

47:30 Welche Services im Referat Studierendensekretariat sind momentan möglich und welche nicht? (Dr. Alexander Rindfleisch)

52:33 Wie kann die Abteilung Studierendenservice momentan erreicht werden? (Jana Weber und Dr. Alexander Rindfleisch)

55:36 Welche Online-Tools können in dieser Situation hilfreich sein? (Erhard Zorn)

58:50 Scheinbar wird es noch etwas dauern bis das SAP-Portal wieder hochgefahren wird. Wird es eine zeitnahe Übergangslösung geben, um wichtige Bescheinigungen zu erhalten? (Dr. Alexander Rindfleisch)

1:00:24 Wie können sich Student*innen konkret für Prüfungen und Abschlussarbeiten an- und abmelden? Ist bei Abschlussarbeiten eine Fristverlängerung möglich? (Jana Weber)

1:00:29 Wieso gibt es keine zentrale Stelle, um Anfragen von Student*innen bzgl. Prüfungen, Abschlussarbeiten, etc. zu beantworten? (Jana Weber)

1:00:32 Wo finde ich Informationen zum IT-Angriff? (Stefanie Terp)

1:04:50 Abschluss (Prof. Dr. Christian Thomsen)

Nach aktuellem Kenntnisstand wurde das Active Directory der TU Berlin kopiert. Details zu den dort gespeicherten Daten können Sie dem Informationsbrief vom 19. Mai 2021 entnehmen. Eine geringe Anzahl Dateien wurde im Darknet veröffentlicht. Um besser bewerten zu können, ob darüber hinaus weitere Daten abgeflossen sind, wurden ergänzende forensische Untersuchungen beauftragt. Über die Ergebnisse wird informiert.

Der Fokus liegt zunächst auf den am dringendsten benötigten Diensten. Gleichzeitig müssen Abhängigkeiten zwischen verschiedenen Systemen berücksichtigt werden, die gegebenenfalls eine bestimmte Reihenfolge der Wiederinbetriebnahme bedingen.

Es wird angestrebt, Dienste in folgender Reihenfolge wieder zur Verfügung zu stellen (Stand: 25.5.2021; Änderungen vorbehalten):

• E-Mail; als temporärer Notmail-Dienst seit 14.5.2021 verfügbar
• tubCloud; seit 28.5.2021 wieder verfügbar
• Mitte Juni: erneuter Passwortwechsel, wodurch zeitnah die Nutzung von WLAN (eduroam) und VPN möglich sein wird.
• Ende Juni: SAP-Kernsystem, jedoch zunächst ohne Portal oder Self-Services
• Mitte Juli: Exchange, inkl. Zugriff auf E-Mails von vor dem 30.4.2021

Weitere Dienste und Anwendungen werden folgen. Es kann jedoch noch mehrere Monate dauern, bis alle betroffenen Systeme wieder komplett verfügbar sind.

Von allen zentral durch die Zentraleinrichtung Campusmanagement (ZECM) betriebenen Diensten existieren Datenbackups auf Bandlaufwerken, die nach Aussage der Expert*innen in gutem Zustand und nicht vom Angriff betroffen sind. Eine kurzzeitige Lücke zwischen dem jeweils letzten Backup und der Abschaltung der betroffenen Systeme am Morgen des 30.4.2021 kann vorhanden sein.

Die Infrastruktur für den Zugriff auf die Systeme steht aktuell nicht zur Verfügung. Deshalb können keine Backups, auch nicht mit reduzierten Zugriffsrechten, zur Verfügung gestellt werden.

Nach aktuellem Kenntnisstand (25.5.2021) gibt es keine Anzeichen, dass private  Rechner und Netzwerke durch den IT-Sicherheitsvorfall an der TU Berlin betroffen sind. Bitte beachten Sie grundsätzlich die üblichen Vorsichtsmaßnahmen wie regelmäßige Updates und den Einsatz eines aktuellen Virenscanners.
 

Für die Rechner der zentralen Verwaltung wird die Zentraleinrichtung Campusmanagement (ZECM) zum gegebenen Zeitpunkt einen Prozess zur Wiederinbetriebnahme vorstellen. Genaue Aussagen zum Zeitplan sind aktuell noch nicht möglich; bitte informieren Sie sich laufend auf der TU-Website sowie den Seiten von ZECM. Für die dezentral verwalteten Rechner ist eine Anleitung in Planung, um diese Geräte eigenständig wieder in Betrieb nehmen zu können. Informationen folgen.

Ziel ist eine zeitnahe Wiederherstellung der IT-Dienste. Daher ist es in der derzeitigen Situation nicht sinnvoll, zusätzlich zu allen anderen zu berücksichtigenden Gegebenheiten einen Wechsel der verwendeten Software vorzunehmen. Denn dies wäre mit entsprechend aufwändigen Planungen verbunden. Die bereits bestehende heterogene Struktur mit einem Mix aus freier und proprietärer Software hat sich grundsätzlich bewährt. Anzumerken bleibt darüber hinaus, dass freie Software nicht automatisch sicherer ist.

Für die zentral durch die Zentraleinrichtung Campusmanagement (ZECM) verwalteten Systeme gibt es strukturierte und dokumentierte Prozesse für Sicherheitsupdates. Diese waren auf dem jeweils aktuellsten Stand.

Aufgrund der Größe der IT-Landschaft der TU Berlin mit vielen dezentralen Systemen ist jedoch nicht auszuschließen, dass in einzelnen Fällen Systeme nicht mit den letzten Updates ausgestattet waren.

Das Passwort war mit den von Microsoft empfohlenen Standardeinstellungen verschlüsselt. Diese beinhalten NT Hashes. Weitere Informationen hierzu finden Sie in der offiziellen Microsoft Dokumentation im Abschnitt "Passwords stored in Active Directory".

Seit Anfang des Jahres gilt eine neue Entgeltordnung für Stellen im IT-Bereich, die auch an der TU Berlin umgesetzt wird. Gerade in Berlin ist der Markt aber sehr umkämpft, was die Gewinnung von qualifiziertem Personal erschwert. Für ausgewählte Vakanzen werden deshalb auch Headhunter eingesetzt.

Das IT-System der TU Berlin ist groß und komplex. Für die zentral durch die Zentraleinrichtung Campusmanagement (ZECM) verwalteten Systeme gibt es strukturierte und dokumentierte Prozesse für Sicherheitsupdates. Diese waren auf dem jeweils aktuellsten Stand.

Aufgrund der Größe der IT-Landschaft der TU Berlin mit vielen dezentralen Systemen ist jedoch nicht auszuschließen, dass in einzelnen Fällen Systeme nicht mit den letzten Updates ausgestattet waren.

Die IT-Infrastruktur der TU Berlin ist nicht komplett auf Microsoft fokussiert. Es werden beispielsweise mehr Linux- als Windows-Server betrieben. Damit ist die TU Berlin nicht in dem Maße Microsoft-fixiert, wie das an manchen Stellen aussieht. Die bereits bestehende heterogene Struktur mit einem Mix aus freier und proprietärer Software hat sich an der TU Berlin grundsätzlich bewährt. Anzumerken bleibt darüber hinaus, dass freie Software nicht automatisch sicherer ist.

Die Beantwortung dieser Frage ist kompliziert, da es sich um ein laufendes Strafverfahren handelt. Die TU Berlin hat einen Strafantrag gestellt. Daher können zu den Einzelheiten keine Aussagen getroffen werden, weil ggf. die Ermittlungen behindert werden könnten. Nach aktuellem Kenntnisstand wurde das Active Directory der TU Berlin kopiert. Details zu den dort gespeicherten Daten wurden bereits im Informationsbrief vom 19. Mai 2021 kommuniziert. Eine geringe Anzahl Dateien wurde außerdem im Darknet veröffentlicht. Um besser bewerten zu können, ob darüber hinaus weitere Daten abgeflossen sind, wurden ergänzende forensische Untersuchungen beauftragt. Über die Ergebnisse wird informiert.

Nach aktuellem Kenntnisstand wurde das Active Directory der TU Berlin kopiert. Details zu den dort gespeicherten Daten können Sie dem Informationsbrief vom 19. Mai 2021 entnehmen.

Eine geringe Anzahl Dateien wurde im Darknet veröffentlicht. Um besser bewerten zu können, ob darüber hinaus weitere Daten abgeflossen sind, wurden ergänzende forensische Untersuchungen beauftragt. Über die Ergebnisse wird informiert.

Die im Darknet veröffentlichten Dateien werden mithilfe des externen IT-Krisendienstleisters HiSolutions AG gesichtet und weiterführende forensische Untersuchungen wurden beauftragt. Bisher gibt es keine Hinweise darauf, dass die tubCloud betroffen ist.

Das Passwort war mit den von Microsoft empfohlenen Standardeinstellungen verschlüsselt. Diese beinhalten NT Hashes. Weitere Informationen hierzu finden Sie in der offiziellen Microsoft Dokumentation im Abschnitt "Passwords stored in Active Directory".

Nach aktuellem Kenntnisstand aus der Forensik ist dies nicht der Fall. Insbesondere auch deswegen, da die Hackergruppe Conti dafür bekannt ist, Daten zu kopieren und abzuziehen, aber nicht sie zu verändern. Es gibt in der Forensik aktuell keine Hinweise darauf, dass Manipulationen stattgefunden haben.

Von allen zentral durch die Zentraleinrichtung Campusmanagement (ZECM) betriebenen Diensten existieren Datenbackups auf Bandlaufwerken, die nach Aussage der Expert*innen in gutem Zustand und nicht vom Angriff betroffen sind. Auch die Informationen zu erbrachten Studienleistungen etc. sind in diesen Backups enthalten.

Momentan können noch keine Bescheinigungen erstellt werden. Das Studierendensekretariat ist optimistisch, in den kommenden zwei Wochen wieder einen Zugriff auf die Systeme zu erhalten, und damit auch entsprechende Bescheinigungen wieder anbieten zu können. Leider gibt es eine kleine Gruppe Student*innen, für die dies dann noch nicht möglich sein wird. Es umfasst Student*innen in den Pilotstudiengängen (Physik und Historische Urbanistik), deren Prüfungsverwaltung bereits in SAP stattfindet.

Da die QISPOS-Systeme nicht zur Verfügung stehen, wurde sich darauf verständigt, dass die Prüfer*innen die Anmeldungen zu den Modulprüfungen festlegen. Student*innen sollen darauf achten, was die Prüfer*innen über die Lehrveranstaltungen oder alternative Kommunikationswege bekanntgeben. Die Prüfer*innen werden festlegen, wie die Anmeldung erfolgt.

Es gibt dafür drei Möglichkeiten. Vielleicht auch noch mehr, dies hängt davon ab, welche technischen Möglichkeiten in den Lehrveranstaltungen genutzt werden.

Student*innen können das Anmeldeformular für Prüfungen auf den Webseiten des Referats Prüfungen nutzen. Student*inn werden gebeten darauf zu achten, dass sie für ihren Fall den Bereich eintragen, zu dem das Modul später zugeordnet werden soll in dem jeweiligen Studiengang, also Wahlpflichtzusatzmodul, Wahlmodul. Es wird Fachgebiete geben, die Anmeldung durch Teilnahme ermöglichen oder die Teilnehmende auffordern, sich in Listen einzuschreiben, die auf den entsprechenden Portalen zu finden sind.

Zum zweiten Teil der Frage: Die Anmeldung zu Abschlussarbeiten kann das Referat Prüfungen momentan nicht durchführen, da dafür der Zugriff auf die Datenbanken gefordert ist. Das Referat Prüfungen muss die Voraussetzungen prüfen. Zudem gibt es momentan noch nicht die Möglichkeit, die Antragsformulare digital zu bearbeiten und die Dateien entsprechend sicher abzulegen. Das Referat Prüfungen hofft, in den nächsten zwei Wochen wieder handlungsfähig zu werden.

Die Abgabe der Abschlussarbeiten kann elektronisch, postalisch oder beim Pförtner im Hauptgebäude erfolgen. Student*innen werden gebeten, dazu die Hinweise aus dem Referat Prüfungen zu beachten. Außerdem soll bitte das Anmeldeformular beigelegt werden.

Aktuell gilt für Abschlussarbeiten noch eine Fristhemmung bis zum 31. Mai 2021. Wer darauf verzichtet hat und nun aufgrund des IT-Angriffs eine Fristverlängerung benötigt, wird diese auch beantragen können. Es wird darum gebeten, nicht sofort entsprechende Anträge per E-Mail zu senden, es folgen Informationen auf der Webseite, wie eine solche Fristverlängerung aufgrund des IT-Angriffs vorgenommen werden kann.

Grundsätzlich ist für die Priorisierung der IT-Notfallstab, der im Rahmen dieses Vorfalls gegründet wurde, zuständig. Der Fokus liegt zunächst auf den am dringendsten benötigten Diensten. Gleichzeitig müssen Abhängigkeiten zwischen verschiedenen Systemen berücksichtigt werden, die gegebenenfalls eine bestimmte Reihenfolge der Wiederinbetriebnahme bedingen.

Es wird angestrebt, Dienste in folgender Reihenfolge wieder zur Verfügung zu stellen (Stand: 25.5.2021; Änderungen vorbehalten):

• E-Mail; als temporärer Notmail-Dienst seit 14.5.2021 verfügbar
• Anfang Juni: tubCloud
• Mitte Juni: erneuter Passwortwechsel, wodurch zeitnah die Nutzung von WLAN (eduroam) und VPN möglich sein wird.
• Ende Juni: SAP-Kernsystem, jedoch zunächst ohne Portal oder Self-Services
• Mitte Juli: Exchange, inkl. Zugriff auf E-Mails von vor dem 30.4.2021

Weitere Dienste und Anwendungen werden folgen. Es kann jedoch noch mehrere Monate dauern, bis alle betroffenen Systeme wieder komplett verfügbar sind.

Ziel ist eine zeitnahe Wiederherstellung der IT-Dienste. Daher ist es in der derzeitigen Situation nicht sinnvoll, zusätzlich zu allen anderen zu berücksichtigenden Gegebenheiten einen Wechsel der verwendeten Software vorzunehmen. Denn das wäre mit entsprechend aufwändigen Planungen verbunden. Die bereits bestehende heterogene Struktur mit einem Mix aus freier und proprietärer Software hat sich grundsätzlich bewährt. Anzumerken bleibt darüber hinaus, dass freie Software nicht automatisch sicherer ist.