Cyberangriffe auf Bildungseinrichtungen gehören längst zum Alltag. Wie komplex sie inzwischen geworden sind, zeigte ein mehrmonatiger Angriff auf eine große deutsche Universität im Jahr 2024/25. Der Fall verdeutlicht, dass auch der akademische Bereich heute ähnlich gezielt attackiert, wird wie kritische Infrastrukturen.
Rechtzeitig erkannt werden konnte der Angriff durch eine frühzeitige Alarmierung, ausgelöst durch die Deception-basierte Intrusion-Detection-Technologie des Dortmunder Softwareherstellers Cybersense, Mitglied des Cyber Security Clusters.
Gezielte Auskundschaftung
Statt schneller Attacke Der Vorfall steht exemplarisch für die zunehmende Komplexität moderner Cyberbedrohungen. Über Monate hinweg kombinierten die Angreifer Geduld, technische Expertise und strategisches Vorgehen. Sie nutzten DNS-basierte Command-and-Control-Strukturen, führten gezielte DDoS-Angriffe durch und versuchten, Netzwerksegmentierungen über legitime Anwendungsschichten zu umgehen.
So tasteten sich die Angreifer vor
Zunächst wurden Benutzerkonten kompromittiert und aus verschiedenen Quellen im Darknet gekauft. Über diese Zugangsdaten führten die Täter interne Port-Scans durch, probierten RDP- und SMB-Zugriffe aus und verschleierten ihre Herkunft durch vorgetäuschte Quelladressen. Intern wirkten die Vorfälle zunächst wie voneinander unabhängige Ereignisse. Erst durch die frühzeitige Alarmierung von Cybersense wurde erkennbar, dass die vermeintlich einzelnen Vorfälle Teil eines größeren Angriffs waren.
Angriffserkennung mithilfe von Deception: Decoys als entscheidender Wendepunkt Der Wendepunkt kam durch Cybersense: Daten aus gezielt platzierten Decoys machten den Angriff erstmals als koordinierte Aktion erkennbar. Die Köder werden im regulären Betrieb nicht angesprochen, erscheinen aber wie legitime Ziele. Jede Interaktion mit ihnen gilt daher als eindeutiger Hinweis auf unbefugte Aktivitäten im Netzwerk.
Entscheidend war der Moment, als ein Zugriff auf eine beabsichtigt manipulierte Datei im NetlogonShare erfolgte. Dieser Auslöser machte die internen Bewegungen sichtbar und führte zu einer klaren Alarmierung. Für das Incident-Response-Team war das der entscheidende Moment: Kompromittierte Accounts konnten umgehend gesperrt und weitere seitliche Ausbreitungen verhindert werden, bevor größerer Schaden entstand.
Lehren für Universitäten und Hochschulen
Der abgewehrte Angriff zeigt, wie wichtig eine Sicherheitsstrategie ist, die technische Innovation mit klaren Prozessen und schneller interner Abstimmung kombiniert. Die betroffene Universität möchte die gewonnenen Erkenntnisse weitergeben und dadurch ein Beispiel für andere Bildungseinrichtungen setzen, die vor ähnlichen Herausforderungen stehen.
Ihre wichtigste Erkenntnis: Nur eine ganzheitliche Sicherheitsstrategie, in der Technologie und organisatorische Zusammenarbeit ineinandergreifen, kann moderne Angriffe wirksam abwehren. Deception-Technologien und eine präzise Angriffserkennung ohne Fehlalarme spielen dabei eine zentrale Rolle, denn sie schaffen Sichtbarkeit im Netzwerk.
Für den Cyber Security Cluster Bonn hat der Fall eine besondere Bedeutung. Er zeigt, wie wertvoll konkrete Praxiserfahrungen aus den eigenen Reihen sind. Dass ein Cluster-Mitglied wie Cybersense zu einer erfolgreichen Abwehr beitragen konnte, wird dort mit Interesse
begleitet und dient als Beispiel dafür, welchen Beitrag regionale Zusammenarbeit im Ernstfall leisten kann.