Hacker-Angriff auf die FHNW – Situation ist unter Kontrolle
Die Plattform GitLab der FHNW ist angegriffen worden. Das Schadensausmass konnte mittlerweile evaluiert und das Risiko einer weiteren Ausdehnung reduziert werden.
Aktualisiert am 19.3.2025
Bei der Plattform GitLab handelt es sich um eine Software-Entwicklungsumgebung mit integriertem Repository. Die FHNW bezieht die Dienstleistung GitLab von SWITCH als eine Software-as-a-Service-Lösung (Managed Hosting). Die Ransomware Gruppe «FOG» hat einen Teil der Daten (Software-Code) kopiert und am 5. März 2025 im Darknet zur Verfügung gestellt.
Die FHNW hat umgehend den Krisenstab und innerhalb der Corporate IT eine Task Force einberufen, den entsprechenden Notfallplan aktiviert und die zentralen Organe der FHNW sowie die Behörden informiert. Die FHNW hat unter anderem umgehend sämtliche GitLab Access-Schlüssel geblockt und die Benutzenden-Passwörter für den GitLab zurückgesetzt.
Durch eine vertiefte Analyse der im Darknet auffindbaren Daten konnten alle direkt betroffenen Personen identifiziert und informiert werden. Zudem wurde die Kritikalität der Daten ermittelt und wo notwendig entsprechende Gegenmassnahmen (Zurücksetzung Passwörter, Sperrung Zugänge etc.) umgesetzt. Auch wurden im Rahmen der Informationspflicht alle Personen angeschrieben, deren E-Mail-Adresse im Datenleck enthalten war.
Die Taskforce konnte zwischenzeitlich den Vorgang herleiten, wie sich die Angreifer Zugriff auf das System beschafft und die Daten aus dem System kopiert haben. Zusammengefasst lässt sich sagen, dass durch eine Brute-Force-Attacke1 auf GitLab mehrere Accounts erfolgreich kompromittiert wurden, die für den Datenzugriff und Diebstahl genutzt werden konnten.
Zusammen mit dem Plattformbetreiber Switch werden nun verschiedene Massnahmen zur nachhaltigen Erhöhung der Sicherheit vorbereitet. Dazu gehören unter anderem Patching-Richtlinien2, Multifaktor-Authentifizierung, Monitoring, erweitertes Logging und IP-Beschränkungen.
Der Lehrbetrieb der FHNW war durch diesen Hacker-Angriff auf die Plattform GitLab nie direkt tangiert und es waren keine weiteren Systeme vom Angriff betroffen. Trotz des Hackerangriffs blieb die Datenintegrität unversehrt; das heisst, es gibt keine Anzeichen, dass Daten verändert wurden.
Die FHNW wird über ihre internen und externen Kommunikationskanäle regelmässig und transparent über den Cyberangriff informieren.
1 Eine Brute-Force-Attacke ist ein Angriff, bei dem ein Angreifer systematisch alle möglichen Kombinationen von Passwörtern oder Schlüsseln ausprobiert, um Zugang zu einem System zu erhalten. Dabei kann eine geleakte Datei mit E-Mailadressen und Passwörtern aus einem anderen System verwendet werden, um die Erfolgschancen zu erhöhen.
2 Eine Patching-Richtlinie ist eine festgelegte Vorgehensweise, die beschreibt, wie und wann Software-Updates und Sicherheits-Patches auf Systemen installiert werden, um diese vor Schwachstellen zu schützen.