zentrum der Hochschule. Das Athene-Team entwickelt
als Erstes ein Werkzeug, das alle infizierten Server auf-
spüren soll, um das Ausmaß des Schadens zu begreifen.
Der große Vorteil einer Universität: Sie ist kein
privatwirtschaftlicher Betrieb, der ohne sein Netz nicht
arbeitsfähig ist. »Bei Hackerangriffen auf Unterneh-
men geht es ab Minute eins um Zehntausende Euro
Verlust«, sagt Linus Neumann, IT-Experte vom Chaos
Computer Club. Eine Uni hat mehr Zeit. Sie braucht
ihr Netz, doch sie braucht es nicht so dringend wie
etwa das Logistikunternehmen Maersk, wo ein Ha-
ckerangriff 2017 für Wochen die Containerschifffahrt
lahmlegte. Entstandener Schaden: 200 bis 300 Millio-
nen Dollar.
Der Nachteil der Gießener Uni: Sie ist auf ein solches
Szenario nicht vorbereitet. Die Re ak tion auf einen
Hackerangriff kann man proben, so wie das Sonderein-
satzkommando der Polizei Antiterroreinsätze übt. Cyber-
security-Zentren bieten solche Trainings an. In Gießen
wurde nicht geübt. Damit bildet die Uni keine Aus-
nahme, sie ist ebenso schlecht auf einen Hackerangriff
vorbereitet wie viele andere öffentliche Institutionen in
Deutschland.
Mukherjee bemüht sich in diesen Stunden, Ruhe
und Ernsthaftigkeit auszustrahlen – gegenüber den
Studierenden und Mitarbeitern, aber auch gegenüber
den Kamerateams und Journalisten aus dem ganzen
Land, die nach Gießen gereist sind. Er wählt jedes
Wort mit Bedacht, spricht von Solidarität und Zu-
sammenstehen in Zeiten des »digitalen Notstands«.
Donnerstag, 12. Dezember
Der Lehrbetrieb funktioniert auch offline, die meisten
Vorlesungen und Seminare finden trotzdem statt. Nur
eben mit Overhead-Projektor statt mit einer Präsenta-
tion aus der Cloud. Dozentinnen und Dozenten ha-
ben handgeschriebene Zettel an ihre Bürotüren ge-
hängt, darauf stehen Informationen zu Vorlesungen
und Klausurterminen. Bibliotheksmitarbeiter haben
in alten Ordnern 16.000 Exemplare von Ausleihzet-
teln gefunden. Damit kann die Ausleihe bald wieder
starten. Analog, wie früher. Auf den Tischen zwischen
den Bücherregalen leuchten überall helle Bildschirme
auf. Weil das WLAN nicht geht, legen sich die Studie-
renden mit ihren Handys einen Hotspot. Zum Lernen
aufs Internet verzichten? Für diese Generation un-
denkbar.
Freitag, 13. Dezember
Schneeregen weht über den Campus. Unter den Stu-
dierenden kursieren Gerüchte. Russische Hacker sol-
len hinter dem Angriff stecken, vermutet ein Student.
In den sozialen Netzwerken taucht jetzt immer öfter
ein Wort auf: Emotet. So heißt ein Trojaner, den das
Bundesamt für Sicherheit in der Informationstechnik
für die »weltweit gefährlichste Schad soft ware« hält.
Sie wird oft in Anhängen von E-Mails verbreitet, die
für den Laien aussehen, als käme das Schreiben von
Kollegen oder Ämtern. Die Anhänge tarnen sich bei-
spielsweise als Word-Dokumente, be inhal ten in
Wirklichkeit aber versteckte Programme.
Ist die Schadsoftware einmal in einem System an-
gekommen, versucht sie, weitere Rechner im gleichen
Netz zu infizieren. Das Ziel der Hacker: Zugänge zu
bekommen und Daten abzugreifen. Die Angreifer be-
obachten am Anfang einfach nur, wie die Soft ware
von selbst vorankommt. Hat Emotet ein Ziel infiziert,
das sie besonders interessiert, greifen die Hacker ein
und legen mit spezieller Schad soft ware nach. »Das
Gefährliche an Emotet ist, dass es massenhafte und
gezielte Angriffe kombiniert«, sagt der IT-Experte
Neumann.
Die Uni hat den Befall mit Emotet bis heute nicht
offiziell bestätigt. Nach Recherchen der ZEIT gilt es
aber als so gut wie sicher, dass der Trojaner auch hier
als Wegbereiter eingesetzt wurde, um spezielle Schad-
soft ware einzuschleusen. Einen weiteren Hinweis da-
rauf wird bald die Generalstaatsanwaltschaft Frank-
furt liefern: Kurz vor Weihnachten bestätigt sie, dass
die Hacker in Gießen eine Schad soft ware namens
Ryuk einsetzten. Ryuk wird häufig nach einer Infektion
mit Emotet »nachgeladen«.
Runtergefahren Fortsetzung von S. 37 Samstag, 14. Dezember
Für die Studierenden gibt es zum Wochenende gute
Nachrichten: Alle Abschlussarbeiten bekommen eine
Verlängerungsfrist von vier Wochen. »Erst mal Ur-
laub!!!«, schreibt jemand auf der Studenten-App Jodel.
Montag, 16. Dezember
Glücklich, wer an einem Januartag Geburtstag hat.
Jene nämlich dürfen sich nun in einer Gießener Turn-
halle als Erste ein neues Passwort abholen. Alle
28.000 Studierenden und 5500 Beschäftigten der Uni
Gießen brauchen neue Log-in-Daten. Damit es keinen
Massenansturm auf die Turnhalle gibt, sind die Termi-
ne nach Geburtsmonaten verteilt. Vor der Turnhalle
hat sich eine lange Schlange aus Januar- und Februar-
kindern gebildet. Drinnen schallt Weihnachtsmusik
durch die Halle. Der Brief mit den Zugangsdaten hält
dann allerdings eine Enttäuschung bereit. Er bringt
nicht den erhofften Zugang zum Internet. Da steht
bloß: »Wann und wo Sie Ihr neu gesetztes Passwort
ändern können, erfahren Sie zu einem späteren Zeit-
punkt auf der Website.«Mittwoch, 18. Dezember
Der Chor der Physikalischen Chemie hat ein Lied na-
mens The day my data died gedichtet. Zur Refrain-
Melodie des Songs American Pie singen sie: »Nein,
nein, meine Hausarbeit / Auf dem Laufwerk Z war sie
auch mit dabei / und ins Stud.IP komm’ ich jetzt auch
nicht mehr rein / ich könnt’ einfach nur noch heulen
und schrei’n.« Aufmerksamen Zuhörern entgeht nicht,
dass die Chemie-Studierenden in ihrem Lied sogar den
Begriff »Desinfec’t« untergebracht haben: ein Spezial-
system für die Virensuche, das die IT-Spezialisten in
diesen Stunden auf allen Endgeräten der Uni-Mitarbei-
ter laufen lassen. An einer Stelle heißt es: »Can you teach
me how to des infect?«Freitag, 20. Dezember
Kurz vor Weihnachten mehren sich plötzlich die Nach-
richten über Hackerangriffe auf öffentliche Institutio-
nen. Die Katholische Hochschule Freiburg hat in dieser
Woche ebenfalls ihre Server vom Netz genommen. Auch
die Stadt Frankfurt ist betroffen. Am Mittwoch hat dort
ein Mitarbeiter in einem Bürgeramt eine Mail geöffnet,
die mit Emotet infiziert war. Die Angreifer hatten sie als
Schreiben einer städtischen Behörde getarnt. Außerdem
infiziert: die Nürnberger Stadtverwaltung und das Für-
ther Klinikum. Bis zum Jahresende werden noch die
Stadtverwaltung in Bad Homburg und die Universität
in Maastricht dazukommen.
Es ist kein Zufall, dass dieses Virus plötzlich überall ist.
Die Hacker arbeiten nach dem Prinzip »Viel schadet viel«.
Sie greifen mehrere Institutionen gleichzeitig an. Wenn
an der einen nichts zu holen ist, lässt sich eine andere
vielleicht besser erpressen. In Maas tricht geht der Plan der
Hacker auf. Ein paar Wochen später, im Februar, wird die
Uni bestätigen, dass sie den Hackern fast 200.000 Euro
in Bitcoin zahlte, um ihre Daten zurückzubekommen.
Auch das Berliner Kammergericht (KG) kämpft
schon seit September 2019 mit den Folgen eines
Emotet-Befalls. Es ist unter anderem dieser Fall, der
nun Zweifel aufkommen lässt, ob die Uni Gießen tat-
sächlich so glimpflich davongekommen ist, wie sie be-
hauptet. Auch in Berlin verkündete der Justizsenator
erst, alle Daten des Kammergerichts seien gerettet wor-
den. Dann aber erschien über den Angriff ein Bericht
von IT-Spezialisten, in dem die folgende Passage auf-
taucht: Dem Angreifer sei es »höchstwahrscheinlich«
gelungen, »einen verborgenen Account anzulegen und
den gesamten Datenbestand des KG zu exfiltrieren und
zu manipulieren, während gleichzeitig die Spuren ver-
schleiert werden«. Das rückt auch die schnelle Ein-
schätzung der Gießener Universität in ein anderes
Licht, man habe alle Daten retten können.
Recherchen der ZEIT ergeben, dass auch in Gießen
bis heute unklar ist, ob auf alle Datenbestände wieder
zugegriffen werden kann. Denn zwischen »Alle Daten
sind da« und »Alle Daten sind verfügbar« gibt es einen
Unterschied. Es ist, als sei der Schlüssel zu einem
Schrank geklaut worden, in dem wichtige Ordner lie-
gen. Offiziell aber hält die Uni an ihrer Einschätzung
fest: »Der Zugriff auf die Daten sollte bis Ende Februar
wieder gewährleistet sein.«Donnerstag, 26. Dezember
Für die Mitarbeiter des Hochschulrechenzentrums in
Gießen fällt die Weihnachtspause aus. Sie arbeiten je-
den Tag an den Servern. Präsident Mukherjee pendelt
zwischen seinem Zuhause, dem Rechenzentrum und
dem Präsidium.Montag, 6. Januar 2020
Am ersten Tag nach den Ferien atmen Studierende und
Lehrende auf: Die Web site ist wieder online. Nach au-
ßen sieht jetzt wieder alles normal aus. Doch ein Groß-
teil der Dienstrechner hat weiterhin keinen Zugang
zum Internet. Buchhaltung und Personalverwaltung
müssen enorme Rückstände aufarbeiten. Und die Wis-
senschaftler warten weiter darauf, dass sie Zugriff auf
ihre Forschungsdaten bekommen. Die IT-Spezialisten
müssen in dieser Phase jeden Schritt abwägen. Wenn
auch nur ein einziges Gerät wieder ans Netz geht, das
noch infiziert ist, geht alles wieder von vorn los.Freitag, 10. Januar
Jetzt, wo die Uni langsam zum Normalbetrieb zurück-
findet, richtet sich der Blick auf die Zukunft. »Das wird
nicht die letzte Attacke aus dem Internet gewesen sein.
Wir müssen uns auf eine neue Dimension von Cyber-
angriffen in den 2020er-Jahren vorbereiten«, sagt Vize-
präsident Michael Lierz. Die Uni kündigt an, dass Mit-
arbeiter und Studierende sich in Zukunft an strengere
Mail-Regeln halten müssen. IT-Experten wie Linus
Neumann können über State ments wie diese nur seuf-
zen. Seit Jahren weisen sie auf die Gefahren von Cyber-
attacken hin. Willkommen im 21. Jahrhundert!Dienstag, 21. Januar
Die Noten sind wieder zugänglich. Eine große Angst der
Studierenden ist damit aus der Welt, nämlich dass all
ihre Leistungsnachweise weg sind. Manch einer mag sich
insgeheim ärgern, weil jetzt auch klar ist, dass das Ergeb-
nis der vermasselten Statistikklausur im zweiten Semester
nicht verloren gegangen ist.Mittwoch, 29. Januar
Erneuter Anruf bei Mu kher jee. Er klingt jetzt gelasse-
ner: »Der Normalzustand, den wir gerade anstreben, ist
nicht der vom 7. Dezember«, sagt er. Zukünftige An-
greifer sollten es schwerer haben, das ganze IT-System sei
neu aufgesetzt worden. Aber vor allem, sagt Mukherjee,
müsse man jetzt die größte Schwachstelle in der IT-
Infrastruktur sensibilisieren: die Nutzer. Er wählt das
Bild einer Autobahn. Der Asphalt müsse gleichmäßig
sein, Leitplanken und Markierungen müssten ordent-
lich installiert werden. »Aber am Ende ist die Autobahn
nur so sicher wie die Fahrer, die auf ihr unterwegs sind.«
Die Uni denkt jetzt über verpflichtende Kurse in IT-
Sicherheit für alle Mitarbeiter und Studierenden nach.Ende Februar 2020
Einen Abschlussbericht der beteiligten IT-Experten gibt
es noch nicht. Am Ende geht es in Gießen darum, nach
dem Angriff eine neue Ba lance zwischen Freiheit und
Sicherheit zu finden. An Universitäten ist diese Balance
bisher immer zugunsten der Freiheit gedehnt worden.
Das Arpanet, der Vorgänger des Internets, wurde 1969
an einer US-amerikanischen Uni geboren. Es machte
möglich, was sich Wissenschaftler jahrzehntelang ge-
wünscht hatten: den freien Transfer von Wissen, un-
hierarchisch, unbürokratisch, schnell, direkt. 50 Jahre
später ist aus diesem Freiheitsversprechen ein Sicher-
heitsrisiko geworden.»Datensicherheit ist
bei uns ein großes
Thema, weil es um den
richtigen Umgang mit
Patientendaten geht.«Cara Berschien
studiert ZahnmedizinȀndern wird sich
wahrscheinlich nichts.
Nur unsere Passwörter sind
jetzt länger und man
macht öfters mal einen
Virenscan am Rechner.«Julian Thieheuer
studiert TiermedizinHOCHSCHULE
HINTER DER GESCHICHTECarla Baum fuhr in der Woche nach dem
Hackerangriff nach Gießen. Sie sprach mit
dem Uni-Präsidenten, Studierenden,
Mit arbeitern und mehreren IT-Experten
über den Vorfall und arbeitete sich in die Welt
der Cybersecurity ein. Heute ist sie vorsichtiger,
wenn sie von einer Kollegin eine Mail mit
der Aufforderung bekommt: »Kannst du
mal drüberschauen (siehe Anhang)?«Fotos: Marian Lenhard für DIE ZEIT38 WISSEN 27. FEBRUAR 2020 DIE ZEIT No 10
ANZEIGE
Diese Woche aus der ZEIT-Jubiläumsedition »Kirsten Boie«
Der kleine Ritter Trenk
Ob »Die Kinder aus dem Möwenweg« oder »Der kleine Ritter
Trenk« – die Geschichten um Boies beliebte Helden gehören
längst zu den Klassikern der Kinderliteratur. Nicht umsonst
wird sie auch »die deutsche Astrid Lindgren« genannt. Kinder
und erwachsene Vorleser werden gleichermaßen von diesen
bezaubernden Büchern und der enormen literarischen Viel-
seitigkeit in den Bann gezogen. Die ZEIT LEO-Edition »Kirsten
Boie« versammelt nun erstmals ihre schönsten Geschichten in
einer hochwertigen Box.Der Vater des Bauernjungen Trenk soll Prügel bekommen, weil
er Ritter Wertold den jährlichen Zins nicht zahlen kann. So
ein Leben will Trenk später keinesfalls führen. Sind die Um-
stände nicht zu ändern, wird er eben selbst Ritter! Heimlich
verlässt Trenk mit seinem Ferkelchen die Familie und schafftes als Knappe auf eine Burg, wo
er Thekla kennenlernt. Das Mäd-
chen ist noch kühner als er und
Meisterin im Erbsenschleudern.
Zu dritt nehmen sie es gar mit einem Drachen auf. Einmal
hineingetaucht in dieses Universum voller Turniere, Gaukler,
Geheimgänge und Räuber, will man es nicht mehr verlassen.
Auf die ihr eigene warmherzige, humorvolle Art erklärt die
Autorin Kindern von heute die Welt von damals und hat dazu
noch eine Botschaft: Niemand darf ausgebeutet werden, Mäd-
chen haben die gleichen Rechte wie Jungen, und auf Freunde
kann man sich verlassen.
Das Buch, in dem zwar die Schwerter klirren, aber kein Blut
fließt, ist ein Glücksfall, auch weil die vorlesenden Eltern ihren
Spaß daran haben. Darauf ein »Potzblitz und holdrio!«Jetzt entdecken: shop.zeit.de/boie 040/32 80-101
Bestell-Nr. 33182 | Autorin: Verena Hoenig | Anbieter: Zeitverlag Gerd Bucerius GmbH & Co. KG, Buceriusstraße, Hamburg»Das ist das tollste
Buch, das ich kenne!«
Levi, 6 JahreFünf der schönsten
Boie-Geschichten:- Der kleine Ritter Trenk
Nächste Woche:- Seeräuber Moses
- Wir Kinder aus dem Möwenweg
- Das Schönste von Lena
und King-Kong - Vom Fuchs, der ein Reh sein wollte
25597_ZT-ZD_Boie_Advertorial-ADV_25802660_X4_ONP26 1 20.02.20 14:24