Technische Universität Berlin

Informationsveranstaltungen zum IT-Angriff

Passwortgeschützter Video-Zusammenschnitt und Antworten auf Ihre Tweedback-Fragen im Überblick

Über die aktuelle Lage in Bezug auf den IT-Angriff informierte die TU Berlin ihre Angehörigen auf zwei digitalen Informationsveranstaltungen am 21. und 25. Mai 2021. Rede und Antwort standen neben dem Präsidenten, dem Vizepräsidenten für Lehre, Digitalisierung und Nachhaltigkeit sowie dem Kanzler (m.d.W.d.G.b.) der TU Berlin weitere Universitätsvertreter*innen von der Zentraleinrichtung Campusmanagement, der Abteilung Studierendenservice, dem Datenschutz und InnoCampus. Am WebEx-Meeting für Beschäftigte nahmen insgesamt rund 1200 Personen teil, am Meeting für Student*innen rund 650. Im Vorfeld reichten interessierte TU-Mitglieder mehr als 700 Fragen und Anmerkungen ein. Daraus wurden Themencluster gebildet, die die Podiumsteilnehmer*innen in der Veranstaltung beantworteten.

Sie hatten keine Möglichkeit, an einer der beiden Informationsveranstaltungen teilzunehmen? Auf dieser Webseite finden Sie einen Video-Zusammenschnitt beider Veranstaltungen inklusive Inhaltsverzeichnis sowie die Antworten auf die Tweedback-Fragen.

Hinweise:

  • Bitte beachten Sie, dass der im Video vermittelte Kenntnisstand sich auf die beiden Veranstaltungsdaten 21. bzw. 25. Mai 2021 bezieht. Die jeweils aktuellsten Informationen zum IT-Angriff finden Sie grundsätzlich auf dieser Übersichtsseite.
     
  • Das Video ist passwortgeschützt. Die Stabsstelle Kommunikation, Events und Alumni hat Ihnen am Vormittag des 31. Mai 2021 eine E-Mail gesendet. In dieser finden Sie die Zugangsdaten.
     
  • Eine weitere Verwendung des Videos oder Teile davon ist nicht gestattet. Bitte beachten Sie die Persönlichkeitsrechte der Podiumsteilnehmer*innen. Die Weitergabe des Passwortes ist nicht gestattet.
     
  • Sie können auf das passwortgeschützte Video nicht zugreifen, weil Sie noch keinen Zugang zu Ihrem temporären E-Mail-Postfach haben? Dann ändern Sie bitte zunächst Ihr zentrales TU-Passwort und melden sich damit beim temporären E-Mail-Dienst an. Weiterführende Informationen hierzu finden Sie online im FAQ – Temporärer E-Mail-Dienst.

Inhalt des Videos mit Zeitangaben

Kapitel 1: Allgemeine Informationen zum IT-Angriff (Zusammenschnitt beider Veranstaltungen)

00:00 Agenda und Vorstellung der Podiumsteilnehmer*innen (Stefanie Terp)

03:35 Was ist passiert und welche Daten sind abgeflossen? (Prof. Dr. Christian Thomsen)

07:05 Welche Dimension hat der IT-Angriff? (Dr. Matthias Reyer)

09:50 Welche Rolle spielt der Datenschutz? (Annette Hiller)

12:01 Welche Maßnahmen hat die TU Berlin ergriffen und wie geht es weiter? (Dr. Matthias Reyer und Vincent Rockenfeld)

Kapitel 2: Info-Veranstaltung für Beschäftigte vom 21. Mai 2021

24:11 Welche Zwischenlösungen gibt es für Kernprozesse aus der Verwaltung? (Lars Oeverdieck)

30:30 Sind private Heimnetzwerke, Rechner im Homeoffice sowie Rechner, auf denen der tubCloud-Client lief, möglicherweise kompromittiert? (Dr. Matthias Reyer)

31:36 Besteht die Möglichkeit, dass durch Homeoffice und den damit verbundenen dienstlichen VPN-Zugriff auch die Heimnetzwerke und die privaten Rechner angegriffen wurden? (Dr. Matthias Reyer)

32:17 In der tubCloud liegen zum Teil sensible Daten aus Forschung und Verwaltung. Warum kann kein Read-only-Zugriff auf diese Daten ermöglicht werden? (Dr. Matthias Reyer)

33:06 Werden Beschäftigte auf alle alten E-Mails, E-Mail-Unterordner und alte Dateien wieder zugreifen können oder ist hier definitiv etwas verloren gegangen, bzw. definitiv nicht wiederherstellbar? (Dr. Matthias Reyer)

33:38 Wird der Neuaufbau der IT-Systeme mit freier bzw. Open-Source-Software anstelle von proprietärer Software erwogen? (Dr. Matthias Reyer)

35:30 Ist eine auf Microsoft fokussierte Infrastruktur überhaupt dauerhaft sicher zu betreiben? (Dr. Matthias Reyer)

36:36 Wohin sind die Daten abgeflossen? Weiß man, wer dahinter steckt? (Dr. Matthias Reyer)

36:59 War zum Zeitpunkt des Angriffs das IT-System der TU Berlin auf dem dann aktuellsten Stand, was z.B. Sicherheitsupdates angeht? (Dr. Matthias Reyer)

37:38 Wie war das TU-Passwort kryptografisch gesichert? (Dr. Matthias Reyer)

38:20 Wird der Vorfall Auswirkungen auf die zukünftige Personalpolitik im IT-Bereich haben? (Lars Oeverdieck)

39:58 Können die durch den IT-Angriff nötigen Maßnahmen für einen Bürokratieabbau genutzt werden? (Lars Oeverdieck)

Kapitel 3: Info-Veranstaltung für Student*innen vom 25. Mai 2021

41:38 Was bedeutet der IT-Angriff im Speziellen für Student*innen? (Prof. Dr. Hans-Ulrich Heiß)

45:24 Welche Services im Referat Prüfungen sind momentan möglich und welche nicht? (Jana Weber)

47:30 Welche Services im Referat Studierendensekretariat sind momentan möglich und welche nicht? (Dr. Alexander Rindfleisch)

52:33 Wie kann die Abteilung Studierendenservice momentan erreicht werden? (Jana Weber und Dr. Alexander Rindfleisch)

55:36 Welche Online-Tools können in dieser Situation hilfreich sein? (Erhard Zorn)

58:50 Scheinbar wird es noch etwas dauern bis das SAP-Portal wieder hochgefahren wird. Wird es eine zeitnahe Übergangslösung geben, um wichtige Bescheinigungen zu erhalten? (Dr. Alexander Rindfleisch)

1:00:24 Wie können sich Student*innen konkret für Prüfungen und Abschlussarbeiten an- und abmelden? Ist bei Abschlussarbeiten eine Fristverlängerung möglich? (Jana Weber)

1:00:29 Wieso gibt es keine zentrale Stelle, um Anfragen von Student*innen bzgl. Prüfungen, Abschlussarbeiten, etc. zu beantworten? (Jana Weber)

1:00:32 Wo finde ich Informationen zum IT-Angriff? (Stefanie Terp)

1:04:50 Abschluss (Prof. Dr. Christian Thomsen)

Videomitschnitt

Falls das Video noch nicht sichtbar ist, laden Sie bitte diese Seite neu und geben Sie dann die Zugangsinformationen ein (Hinweise dazu finden Sie weiter oben).

Q&A Tweedback Beschäftigte

Welche Daten sind konkret abgeflossen?

Nach aktuellem Kenntnisstand wurde das Active Directory der TU Berlin kopiert. Details zu den dort gespeicherten Daten können Sie dem Informationsbrief vom 19. Mai 2021 entnehmen. Eine geringe Anzahl Dateien wurde im Darknet veröffentlicht. Um besser bewerten zu können, ob darüber hinaus weitere Daten abgeflossen sind, wurden ergänzende forensische Untersuchungen beauftragt. Über die Ergebnisse wird informiert.

Wann werden welche Dienste voraussichtlich wieder zur Verfügung stehen?

Der Fokus liegt zunächst auf den am dringendsten benötigten Diensten. Gleichzeitig müssen Abhängigkeiten zwischen verschiedenen Systemen berücksichtigt werden, die gegebenenfalls eine bestimmte Reihenfolge der Wiederinbetriebnahme bedingen.

Es wird angestrebt, Dienste in folgender Reihenfolge wieder zur Verfügung zu stellen (Stand: 25.5.2021; Änderungen vorbehalten):

  • E-Mail; als temporärer Notmail-Dienst seit 14.5.2021 verfügbar
  • tubCloud; seit 28.5.2021 wieder verfügbar
  • Mitte Juni: erneuter Passwortwechsel, wodurch zeitnah die Nutzung von WLAN (eduroam) und VPN möglich sein wird.
  • Ende Juni: SAP-Kernsystem, jedoch zunächst ohne Portal oder Self-Services
  • Mitte Juli: Exchange, inkl. Zugriff auf E-Mails von vor dem 30.4.2021

Weitere Dienste und Anwendungen werden folgen. Es kann jedoch noch mehrere Monate dauern, bis alle betroffenen Systeme wieder komplett verfügbar sind.

Ist mit Datenverlust zu rechnen (z.B. E-Mails, tubCloud), falls ja in welchem Ausmaß?

Von allen zentral durch die Zentraleinrichtung Campusmanagement (ZECM) betriebenen Diensten existieren Datenbackups auf Bandlaufwerken, die nach Aussage der Expert*innen in gutem Zustand und nicht vom Angriff betroffen sind. Eine kurzzeitige Lücke zwischen dem jeweils letzten Backup und der Abschaltung der betroffenen Systeme am Morgen des 30.4.2021 kann vorhanden sein.

Können zwischenzeitlich Back-ups oder Read-only-Zugriffe für tubCloud etc. bereitgestellt werden?

Die Infrastruktur für den Zugriff auf die Systeme steht aktuell nicht zur Verfügung. Deshalb können keine Backups, auch nicht mit reduzierten Zugriffsrechten, zur Verfügung gestellt werden.

Sind private Heimnetzwerke, Rechner im Homeoffice sowie Rechner, auf denen der tubCloud-Client lief, möglicherweise kompromittiert?

Nach aktuellem Kenntnisstand (25.5.2021) gibt es keine Anzeichen, dass private  Rechner und Netzwerke durch den IT-Sicherheitsvorfall an der TU Berlin betroffen sind. Bitte beachten Sie grundsätzlich die üblichen Vorsichtsmaßnahmen wie regelmäßige Updates und den Einsatz eines aktuellen Virenscanners.
 

Wann können die Rechner, die aktuell nicht genutzt werden dürfen, wieder in Betrieb genommen werden?

Für die Rechner der zentralen Verwaltung wird die Zentraleinrichtung Campusmanagement (ZECM) zum gegebenen Zeitpunkt einen Prozess zur Wiederinbetriebnahme vorstellen. Genaue Aussagen zum Zeitplan sind aktuell noch nicht möglich; bitte informieren Sie sich laufend auf der TU-Website sowie den Seiten von ZECM. Für die dezentral verwalteten Rechner ist eine Anleitung in Planung, um diese Geräte eigenständig wieder in Betrieb nehmen zu können. Informationen folgen.

Wird der Neuaufbau der IT-Systeme mit freier bzw. Open-Source-Software anstelle von proprietärer Software erwogen?

Ziel ist eine zeitnahe Wiederherstellung der IT-Dienste. Daher ist es in der derzeitigen Situation nicht sinnvoll, zusätzlich zu allen anderen zu berücksichtigenden Gegebenheiten einen Wechsel der verwendeten Software vorzunehmen. Denn dies wäre mit entsprechend aufwändigen Planungen verbunden. Die bereits bestehende heterogene Struktur mit einem Mix aus freier und proprietärer Software hat sich grundsätzlich bewährt. Anzumerken bleibt darüber hinaus, dass freie Software nicht automatisch sicherer ist.

War zum Zeitpunkt des Angriffs das IT-System der TU Berlin auf dem dann aktuellsten Stand, was z.B. Sicherheitsupdates angeht?

Für die zentral durch die Zentraleinrichtung Campusmanagement (ZECM) verwalteten Systeme gibt es strukturierte und dokumentierte Prozesse für Sicherheitsupdates. Diese waren auf dem jeweils aktuellsten Stand.

Aufgrund der Größe der IT-Landschaft der TU Berlin mit vielen dezentralen Systemen ist jedoch nicht auszuschließen, dass in einzelnen Fällen Systeme nicht mit den letzten Updates ausgestattet waren.

War das TU-Passwort kryptografisch gesichert?

Das Passwort war mit den von Microsoft empfohlenen Standardeinstellungen verschlüsselt. Diese beinhalten NT Hashes. Weitere Informationen hierzu finden Sie in der offiziellen Microsoft Dokumentation im Abschnitt "Passwords stored in Active Directory".

Wird der Vorfall Auswirkungen auf die zukünftige Personalpolitik im IT-Bereich haben?

Seit Anfang des Jahres gilt eine neue Entgeltordnung für Stellen im IT-Bereich, die auch an der TU Berlin umgesetzt wird. Gerade in Berlin ist der Markt aber sehr umkämpft, was die Gewinnung von qualifiziertem Personal erschwert. Für ausgewählte Vakanzen werden deshalb auch Headhunter eingesetzt.

Q&A Tweedback Student*innen

War zum Zeitpunkt des Angriffs das IT-System der TU Berlin auf dem dann aktuellsten Stand, was z.B. Sicherheitsupdates angeht?

Das IT-System der TU Berlin ist groß und komplex. Für die zentral durch die Zentraleinrichtung Campusmanagement (ZECM) verwalteten Systeme gibt es strukturierte und dokumentierte Prozesse für Sicherheitsupdates. Diese waren auf dem jeweils aktuellsten Stand.

Aufgrund der Größe der IT-Landschaft der TU Berlin mit vielen dezentralen Systemen ist jedoch nicht auszuschließen, dass in einzelnen Fällen Systeme nicht mit den letzten Updates ausgestattet waren.

Ist eine auf Microsoft fokussierte Infrastruktur überhaupt dauerhaft sicher zu betreiben?

Die IT-Infrastruktur der TU Berlin ist nicht komplett auf Microsoft fokussiert. Es werden beispielsweise mehr Linux- als Windows-Server betrieben. Damit ist die TU Berlin nicht in dem Maße Microsoft-fixiert, wie das an manchen Stellen aussieht. Die bereits bestehende heterogene Struktur mit einem Mix aus freier und proprietärer Software hat sich an der TU Berlin grundsätzlich bewährt. Anzumerken bleibt darüber hinaus, dass freie Software nicht automatisch sicherer ist.

Welche Dienste und Software-Teile wurden konkret auf Grund welcher Umstände kompromittiert?

Die Beantwortung dieser Frage ist kompliziert, da es sich um ein laufendes Strafverfahren handelt. Die TU Berlin hat einen Strafantrag gestellt. Daher können zu den Einzelheiten keine Aussagen getroffen werden, weil ggf. die Ermittlungen behindert werden könnten. Nach aktuellem Kenntnisstand wurde das Active Directory der TU Berlin kopiert. Details zu den dort gespeicherten Daten wurden bereits im Informationsbrief vom 19. Mai 2021 kommuniziert. Eine geringe Anzahl Dateien wurde außerdem im Darknet veröffentlicht. Um besser bewerten zu können, ob darüber hinaus weitere Daten abgeflossen sind, wurden ergänzende forensische Untersuchungen beauftragt. Über die Ergebnisse wird informiert.

Welche persönlichen und ggf. privaten Daten wurden abgegriffen, Telefonnummern für SMS-Tan, Geschlecht, Wohnanschrift, Bankdaten?

Nach aktuellem Kenntnisstand wurde das Active Directory der TU Berlin kopiert. Details zu den dort gespeicherten Daten können Sie dem Informationsbrief vom 19. Mai 2021 entnehmen.

Eine geringe Anzahl Dateien wurde im Darknet veröffentlicht. Um besser bewerten zu können, ob darüber hinaus weitere Daten abgeflossen sind, wurden ergänzende forensische Untersuchungen beauftragt. Über die Ergebnisse wird informiert.

Daten/Auszüge wurden im Internet veröffentlicht, schreibt die Freitagsrunde. Aus den Screenshots geht hervor, dass auch Personalausweiskopien etc. abgeflossen sind. Sind alle meine E-Mail-Anhänge/tubCloud Daten nun öffentlich?

Die im Darknet veröffentlichten Dateien werden mithilfe des externen IT-Krisendienstleisters HiSolutions AG gesichtet und weiterführende forensische Untersuchungen wurden beauftragt. Bisher gibt es keine Hinweise darauf, dass die tubCloud betroffen ist.

Wie gut war das TU-Passwort kryptographisch gesichert? Wurde ein Salt und "sicherer" Hash-Algorithmus verwendet?

Das Passwort war mit den von Microsoft empfohlenen Standardeinstellungen verschlüsselt. Diese beinhalten NT Hashes. Weitere Informationen hierzu finden Sie in der offiziellen Microsoft Dokumentation im Abschnitt "Passwords stored in Active Directory".

Wurden Daten (z.B. Studierendendaten, Prüfungsdaten, etc.) verändert?

Nach aktuellem Kenntnisstand aus der Forensik ist dies nicht der Fall. Insbesondere auch deswegen, da die Hackergruppe Conti dafür bekannt ist, Daten zu kopieren und abzuziehen, aber nicht sie zu verändern. Es gibt in der Forensik aktuell keine Hinweise darauf, dass Manipulationen stattgefunden haben.

Sind alle bisher erbrachten Studienleistungen (Prüfungsnoten, Bescheinigungen Praktika), verloren gegangen? Und wenn ja, sind sie wiederherstellbar? Kann ausgeschlossen werden, dass es Informationsverluste bei eingetragenen Noten/Studienleistungen gab?

Von allen zentral durch die Zentraleinrichtung Campusmanagement (ZECM) betriebenen Diensten existieren Datenbackups auf Bandlaufwerken, die nach Aussage der Expert*innen in gutem Zustand und nicht vom Angriff betroffen sind. Auch die Informationen zu erbrachten Studienleistungen etc. sind in diesen Backups enthalten.

Scheinbar wird es noch etwas dauern bis das SAP-Portal wieder hochgefahren wird. Wird es eine zeitnahe Übergangslösung geben, um wichtige Bescheinigungen (Notenspiegel, Immatrikulationsbescheid etc., für auslaufende Visa, Jobbewerbungen) zu erhalten?

Momentan können noch keine Bescheinigungen erstellt werden. Das Studierendensekretariat ist optimistisch, in den kommenden zwei Wochen wieder einen Zugriff auf die Systeme zu erhalten, und damit auch entsprechende Bescheinigungen wieder anbieten zu können. Leider gibt es eine kleine Gruppe Student*innen, für die dies dann noch nicht möglich sein wird. Es umfasst Student*innen in den Pilotstudiengängen (Physik und Historische Urbanistik), deren Prüfungsverwaltung bereits in SAP stattfindet.

Wie kann ich mich konkret für Prüfungen an- und abmelden? Wie kann ich mich für Abschlussarbeiten an- und abmelden? Bei Abschlussarbeiten: Ist eine Fristverlängerung möglich?

Da die QISPOS-Systeme nicht zur Verfügung stehen, wurde sich darauf verständigt, dass die Prüfer*innen die Anmeldungen zu den Modulprüfungen festlegen. Student*innen sollen darauf achten, was die Prüfer*innen über die Lehrveranstaltungen oder alternative Kommunikationswege bekanntgeben. Die Prüfer*innen werden festlegen, wie die Anmeldung erfolgt.

Es gibt dafür drei Möglichkeiten. Vielleicht auch noch mehr, dies hängt davon ab, welche technischen Möglichkeiten in den Lehrveranstaltungen genutzt werden.

Student*innen können das Anmeldeformular für Prüfungen auf den Webseiten des Referats Prüfungen nutzen. Student*inn werden gebeten darauf zu achten, dass sie für ihren Fall den Bereich eintragen, zu dem das Modul später zugeordnet werden soll in dem jeweiligen Studiengang, also Wahlpflichtzusatzmodul, Wahlmodul. Es wird Fachgebiete geben, die Anmeldung durch Teilnahme ermöglichen oder die Teilnehmende auffordern, sich in Listen einzuschreiben, die auf den entsprechenden Portalen zu finden sind.

Zum zweiten Teil der Frage: Die Anmeldung zu Abschlussarbeiten kann das Referat Prüfungen momentan nicht durchführen, da dafür der Zugriff auf die Datenbanken gefordert ist. Das Referat Prüfungen muss die Voraussetzungen prüfen. Zudem gibt es momentan noch nicht die Möglichkeit, die Antragsformulare digital zu bearbeiten und die Dateien entsprechend sicher abzulegen. Das Referat Prüfungen hofft, in den nächsten zwei Wochen wieder handlungsfähig zu werden.

Die Abgabe der Abschlussarbeiten kann elektronisch, postalisch oder beim Pförtner im Hauptgebäude erfolgen. Student*innen werden gebeten, dazu die Hinweise aus dem Referat Prüfungen zu beachten. Außerdem soll bitte das Anmeldeformular beigelegt werden.

Aktuell gilt für Abschlussarbeiten noch eine Fristhemmung bis zum 31. Mai 2021. Wer darauf verzichtet hat und nun aufgrund des IT-Angriffs eine Fristverlängerung benötigt, wird diese auch beantragen können. Es wird darum gebeten, nicht sofort entsprechende Anträge per E-Mail zu senden, es folgen Informationen auf der Webseite, wie eine solche Fristverlängerung aufgrund des IT-Angriffs vorgenommen werden kann.

Gibt es eine Priorisierung für die Bereitstellung von IT-Diensten, im Speziellen für Systeme, die für Student*innen relevant sind - QISPOS, tuPort, tubCloud, VPN, Eduroam?

text

Grundsätzlich ist für die Priorisierung der IT-Notfallstab, der im Rahmen dieses Vorfalls gegründet wurde, zuständig. Der Fokus liegt zunächst auf den am dringendsten benötigten Diensten. Gleichzeitig müssen Abhängigkeiten zwischen verschiedenen Systemen berücksichtigt werden, die gegebenenfalls eine bestimmte Reihenfolge der Wiederinbetriebnahme bedingen.

Es wird angestrebt, Dienste in folgender Reihenfolge wieder zur Verfügung zu stellen (Stand: 25.5.2021; Änderungen vorbehalten):

  • E-Mail; als temporärer Notmail-Dienst seit 14.5.2021 verfügbar
  • Anfang Juni: tubCloud
  • Mitte Juni: erneuter Passwortwechsel, wodurch zeitnah die Nutzung von WLAN (eduroam) und VPN möglich sein wird.
  • Ende Juni: SAP-Kernsystem, jedoch zunächst ohne Portal oder Self-Services
  • Mitte Juli: Exchange, inkl. Zugriff auf E-Mails von vor dem 30.4.2021

Weitere Dienste und Anwendungen werden folgen. Es kann jedoch noch mehrere Monate dauern, bis alle betroffenen Systeme wieder komplett verfügbar sind.

Wird der erfolgreiche Angriff auf die proprietäre Infrastruktur zum Anlass genommen, in Zukunft vermehrt auf Open Source Software zu setzen?

Ziel ist eine zeitnahe Wiederherstellung der IT-Dienste. Daher ist es in der derzeitigen Situation nicht sinnvoll, zusätzlich zu allen anderen zu berücksichtigenden Gegebenheiten einen Wechsel der verwendeten Software vorzunehmen. Denn das wäre mit entsprechend aufwändigen Planungen verbunden. Die bereits bestehende heterogene Struktur mit einem Mix aus freier und proprietärer Software hat sich grundsätzlich bewährt. Anzumerken bleibt darüber hinaus, dass freie Software nicht automatisch sicherer ist.