Offene Fragen zur Attacke gibt es aber nach wie vor genug: So sind offenbar weder Lösegeldforderungen eingegangen noch Daten abgesaugt worden. Wie der IT-Chef der Paris Lodron Universität Salzburg (PLUS), Herbert Lohninger, berichtete, sei der Hackerangriff am späten Abend des 27. März durch eine Sicherheitswarnung bemerkt worden. „Wir haben uns sofort entschieden, den Mail-Server und verbundene Serverdienste vom Netz zu nehmen. Das war ein bewusster Schritt der IT“, sagte er. Man habe dann umgehend externe Sicherheitsunternehmen mit der Analyse beauftragt.
„Reputationsverlust“ als mögliches Motiv?
„Nach einer zeitintensiven forensischen Untersuchung sind wir draufgekommen, dass es sich um eine neuartige und noch nicht bekannte Schadsoftware handelt“, so Lohninger weiter. Es gebe aktuell aber keine Indizien für eine Erpressung oder für einen Datenabfluss an Benutzerdaten, es kam auch zu keiner Verschlüsselung. Der Angriff könne darum wohl nur mit dem Motiv „Reputationsverlust“ erklärt werden. Gerüchte, wonach die Hacker Rechenkapazitäten der Universität für das Mining von Kryptowährungen verwenden wollten, wollte Lohninger nicht kommentieren.
„Wir wissen, wann der Angreifer gekommen ist“
Über das vergangene Wochenende habe man schließlich zahlreich Systeme heruntergefahren, um den Stand vor dem Angriff und neue Sicherheitsmechanismen einzuspielen. „Wir wissen ja, wann der Angreifer gekommen ist“, betonte der IT-Chef. Letzten Montag seien zudem alle 3.000 Benutzer aufgefordert worden, ihre Kennwörter zu ändern. Die Konten der Studierenden der PLUS waren von dem Angriff übrigens nicht betroffen. Diese werden von Google verwaltet.
Rektor Lehnert meinte, eine Hackerattacke auf eine Bildungsinstitution sei völlig unakzeptabel und könne nur mit den Worten kriminell beschrieben werden. Die Hoffnung, bei der Spurensuche auf einen Täter zu stoßen, sei aber gering. Wann die PLUS-Mitarbeiter tatsächlich wieder Arbeits-E-Mails empfangen und versenden können und Zugriff auf ihre Kalender haben, wollte Lohninger noch nicht sagen. Die gesperrten VPN-Verbindungen seien aber bereits aktiviert worden. Eine Recherche in der Unibibliothek sei damit etwa wieder möglich.
Die Universität brachte den Fall dem Bundes- und dem Landeskriminalamt zur Anzeige. Auch eine Meldung an die Datenschutzbehörde sei erfolgt. Lohninger kündigte am Dienstag auch weitere Sicherheitsmaßnahmen an. Dem Vernehmen nach soll etwa eine Zwei-Faktor-Authentisierung eingeführt werden.