=?iso-8859-1?Q?Angriffe_auf_die_TUM, _Passwortwechsel_bei_etlichen_Nutzern?= nötig

[TUM-IT-Newsletter]

Liebe IT-Newsletter-Abonnent*innen und IT-Admins,

wir haben in den letzten Wochen eine neue Art von Angriffen auf die IT-Systeme der TUM bemerkt, die eine dringende Reaktion erfordern:

In der Hacker-Szene kursieren riesige Listen aus Angriffen auf Webshops oder Community-Systeme (LinkedIn-Hack,  Adobe-Hack, Myspace, ..., siehe z.B.  https://haveibeenpwned.com/PwnedWebsites), die jeweils eine E-Mail-Adresse und das zugehörige Passwort des dortigen Nutzers enthalten. Da die Wahrscheinlichkeit hoch ist, dass ein Nutzer ein identisches Passwort für verschiedene Systeme nutzt, haben die Angreifer aus diesen Listen diejenigen E-Mail-Adressen herausgefiltert, die der TUM zuordenbar sind. Mit diesen Daten versuchen sie, sich bei der TUM oder dem LRZ einzuloggen. In der Regel findet nur ein Versuch pro Adresse/Passwort statt. Das sind also keine Brute Force oder blinde Attacken, sondern ist sehr zielgerichtet. Um möglichst unauffällig zu bleiben, kommen die Login-Versuche auch nicht von einem einzigen Angriffs-Server, sondern werden von Bot-Netzen aus verteilt gestartet. Da wir aber ungültige Logins monitoren, werden wir dennoch auf diese Angriffe aufmerksam.

Nach aktuellen Analysen liegt die "Trefferrate" der Angreifer zwar unter 0,5 Prozent und Großteiles sind Alumni-Accounts betroffen. Dennoch müssen wir hier reagieren. Um diese Art von Angriffen zukünftig zu unterbinden, haben wir die Hashes aller TUM-Passwörter (aktive Mitglieder und Alumni) gegen die "Hackerlisten" verglichen und sind auf eine hohe Anzahl an potenziell unsicheren Passwörtern gestoßen. Zunächst haben wir daher in TUMonline Vorkehrungen getroffen, dass beim Setzen eines neuen Passworts dieses mit der Hackerliste verglichen wird. Diese Sperrliste  enthält derzeit ca. 550 Millionen Einträge (https://haveibeenpwned.com/Passwords). Potenziell unsichere neue Passwörter werden nicht mehr zugelassen. Als weiteren Schritt erhalten alle Nutzer mit potenziell unsicherem Passwort beim Login in TUMonline eine Aufforderung zum Passwortwechsel angezeigt.

Seit Freitag schreiben wir auch alle betroffenen Nutzer direkt an. Alumni werden informiert, dass sie Ihr Passwort in den nächsten vier Wochen ändern müssen, ansonsten wir es von uns deaktiviert. Bei aktiven Mitgliedern verschicken wir derzeit nur die Aufforderung, das Passwort freiwillig zu ändern. In ca. zwei Wochen werden wir jedoch die verbliebenen aktiven Mitglieder, die ihr Passwort nicht geändert haben, erneut erinnern und dann eine Zwangsfrist setzen.

Bei aktiven TUM-Mitgliedern ist das Sperren des Passworts natürlich ein harter Eingriff, da dann kein Login z.B. am PC mehr möglich ist, Laufwerksverbindungen zum NAS gesperrt sind und auch der Zugang zur E-Mail und zu Moodle nicht mehr funktioniert. Der Zugang zu TUMonline zum Setzen eines neuen, sicheren Passworts wird jedoch möglich sein.
Sofern Sie IT-administrativ tätig sind bitte Sie, diese Information in Ihrem Bereich bekannt zu machen und betroffene Nutzer bei den Folgen eines Passwortwechsels zu unterstützen. Auch wenn das jetzt eventuell Support-intensiv wird: Es hilft nichts, da müssen wir gemeinsam durch.

Danke für Ihre Kooperation

Albert Lauchner

--
Dipl. Phys. Albert Lauchner
Leiter IT-Management Technische Universität München
IT-Servicezentrum Karlstr. 45, 80333 München
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20191113/25fda27e/attachment.html>