Angriffe auf die TUM, Passwortwechsel bei etlichen Nutzern nötig

Wir haben in den letzten Wochen eine neue Art von Angriffen auf die IT-Systeme der TUM bemerkt, die eine dringende Reaktion erfordern.

In der Hacker-Szene kursieren riesige Listen aus Angriffen auf Webshops oder Community-Systeme (LinkedIn-Hack,  Adobe-Hack, Myspace, …, siehe z.B.  https://haveibeenpwned.com/PwnedWebsites), die jeweils eine E-Mail-Adresse und das zugehörige Passwort des dortigen Nutzers enthalten. Da die Wahrscheinlichkeit hoch ist, dass ein Nutzer ein identisches Passwort für verschiedene Systeme nutzt, haben die Angreifer aus diesen Listen diejenigen E-Mail-Adressen herausgefiltert, die der TUM zuordenbar sind. Mit diesen Daten versuchen sie, sich bei der TUM oder dem LRZ einzuloggen. In der Regel findet nur ein Versuch pro Adresse/Passwort statt. Das sind also keine Brute Force oder blinde Attacken, sondern ist sehr zielgerichtet. Um möglichst unauffällig zu bleiben, kommen die Login-Versuche auch nicht von einem einzigen Angriffs-Server, sondern werden von Bot-Netzen aus verteilt gestartet. Da wir aber ungültige Logins monitoren, werden wir dennoch auf diese Angriffe aufmerksam.

Nach aktuellen Analysen liegt die „Trefferrate“ der Angreifer zwar unter 0,5 Prozent und Großteiles sind Alumni-Accounts betroffen. Dennoch müssen wir hier reagieren. Um diese Art von Angriffen zukünftig zu unterbinden, haben wir die Hashes aller TUM-Passwörter (aktive Mitglieder und Alumni) gegen die „Hackerlisten“ verglichen und sind auf eine hohe Anzahl an potenziell unsicheren Passwörtern gestoßen. Zunächst haben wir daher in TUMonline Vorkehrungen getroffen, dass beim Setzen eines neuen Passworts dieses mit der Hackerliste verglichen wird. Diese Sperrliste  enthält derzeit ca. 550 Millionen Einträge (https://haveibeenpwned.com/Passwords). Potenziell unsichere neue Passwörter werden nicht mehr zugelassen. Als weiteren Schritt erhalten alle Nutzer mit potenziell unsicherem Passwort beim Login in TUMonline eine Aufforderung zum Passwortwechsel angezeigt.

Seit dem 8. November 2019 schreiben wir auch alle betroffenen Nutzer direkt an. Alumni werden informiert, dass sie Ihr Passwort in den nächsten vier Wochen ändern müssen, ansonsten wir es von uns deaktiviert. Bei aktiven Mitgliedern verschicken wir  nur die Aufforderung, das Passwort freiwillig zu ändern. Ab dem 25. November werden wir jedoch die verbliebenen aktiven Mitglieder, die ihr Passwort nicht geändert haben, erneut erinnern und dann eine Zwangsfrist setzen.

Bei aktiven TUM-Mitgliedern ist das Sperren des Passworts natürlich ein harter Eingriff, da dann kein Login z.B. am PC mehr möglich ist, Laufwerksverbindungen zum NAS gesperrt sind und auch der Zugang zur E-Mail und zu Moodle nicht mehr funktioniert. Der Zugang zu TUMonline zum Setzen eines neuen, sicheren Passworts wird jedoch möglich sein.