FHNW ist Opfer eines Hackerangriffs

Die Fachhochschule Nordwestschweiz (FHNW) ist von einem Datendiebstahl in Zusammenhang mit einer Ransomware-Attacke betroffen. Dies bestätigte die Bildungsinstitution am Donnerstag gegenüber "Watson" und informierte in der Folge auf der eigenen Website über den Vorfall. Im Darknet war am Mittwoch ein entsprechendes Posting veröffentlicht worden. Demnach machen unbekannte Cyberkriminelle 93 Gigabyte an gestohlenen Gitlab-Daten für Dritte zugänglich.

Der FHNW-Kommunikationleiter Dominik Lehmann erklärt: "Bei GitLab handelt es sich um eine Software-Entwicklungsumgebung der FHNW, welche von einem externen Dienstleiter betrieben wird. Die Ransomware Gruppe 'FOG' hat einen Teil der Daten (Software-Codes) entwendet und im Darknet zur Verfügung gestellt. Es wurden keine Daten verschlüsselt."

Wie reagiert die betroffene Institution?

Die Informatik-Abteilung der FHNW habe umgehend eine Taskforce gebildet und "den entsprechenden Notfallplan aktiviert". Nun laufe eine Analyse der auffindbaren Daten, um das Schadensausmass genau zu beziffern. Es sei bisher nicht bekannt, dass weitere IT-Systeme vom Angriff betroffen sind, erklärt der FHNW-Sprecher. Die IT-Spezialisten seien in erhöhter Alarmbereitschaft, um falls nötig weitere Massnahmen einzuleiten.

Die Fachhochschule hat gemäss eigenen Angaben bereits intern zum Hackerangriff informiert. Eigentümer der FHNW sind die vier Trägerkantone Aargau, Basel-Landschaft, Basel-Stadt und Solothurn. Die Fachhochschule zählte 2023 über 13'000 Studierende.

Was ist an dem Hackerangriff speziell?

Die Cyberkriminellen, die sich hinter der Ransomware-Operation FOG verbergen, haben offenbar seit Jahresbeginn zahlreiche Organisationen attackiert, die die Software-Entwicklungsplattform Gitlab nutzen. Diese bezeichnet sich auf ihrer eigenen Website als "die umfassendste KI-gestützte DevSecOps-Plattform".

Neben der FHNW ist mindestens eine weitere Schweizer Firma betroffen, wie Watson-Recherchen zeigen. Die Hacker zielen auf Software-Repositorien ab, anstatt nur Dateien zu verschlüsseln. Diese neue Angriffsmethode bedroht also das geistige Eigentum, die IT-Sicherheit und den Geschäftsbetrieb der Betroffenen.

Dazu erklärt der renommierte Schweizer IT-Sicherheitsexperte Marc Ruef von der Firma Scip: "Angriffe auf GitLab können Organisationen empfindlich treffen. Betriebsgeheimnisse oder sensitive Daten (z.B. Passwörter) könnten gestohlen werden. Oder die Entwicklung eines Produkts könnte massgeblich eingeschränkt werden. Der Druck auf die betroffenen Organisationen kann dementsprechend immens sein."

Es sei allerdings fragwürdig, warum «eine durch Geld getriebene Ransomware-Gang» die gestohlenen Daten frei zur Verfügung stellt, so Ruef. Entweder seien die Cyberkriminellen selbst der Meinung, dass die Opfer-Daten auf dem Schwarzmarkt keinen Wert hätten. Oder sie wollten dadurch ihre Macht demonstrieren. Bei Gitlab würden immer wieder Schwachstellen entdeckt, hält IT-Sicherheitsexperte Ruef fest. Seit 2017 seien nahezu 700 Schwachstellen bekannt geworden. Und allein in diesem Jahr seien es bereits 25.

"Sobald neue Schwachstellen gefunden werden, versuchen böswillige Akteure, diese für sich auszunutzen. Über welche Schwachstelle der Angriff genau stattgefunden hat, wird gegenwärtig noch immer spekuliert", erklärt Ruef weiter. Die Liste der FOG-Opfer wird immer länger. Gemäss der IT-Sicherheitsfirma HackManac gab es seit Anfang 2025 bereits mehr als 80 (erfolgreiche) Attacken.

Wer sind die Täter?

Wer hinter der Ransomware-Operation FOG steckt, ist nicht bekannt. Im Mai 2024 stellte die IT-Sicherheitsfirma Arctic Wolf Labs erste Angriffe in den USA fest. Sicherheitsexperte Ruef bestätigt: "Die geografische Herkunft von FOG ist nach wie vor unklar. Unsere Analysen deuten aber auf die Herkunft China, mit vereinzelten Verbindungen zu Russland, hin." FOG sei bekannt für das Nutzen von gestohlenen oder kompromittierten VPN-Zugängen.

Zum Vorgehen der Cyberkriminellen erklärt der Sicherheitsexperte:

• "Man konnte beobachten, dass sie in einem zweiten Schritt Hashes abfangen und für eine Authentisierung missbrauchen. Auf kompromittierten Windows-Systemen lesen sie die abgespeicherten Passwörter aus, um ihre Rechte zu erweitern."
• Danach bemühten sie sich um ein "Backdooring" und legten neue Benutzerkonten an oder installierten Fernzugriffe (über RDP oder SSH).
• Nach der Kompromittierung würden die Daten via Archive (7Zip oder WinRar) exfiltriert und lokal verschlüsselt. Um eine eigenmächtige Wiederherstellung durch die Opfer zu verhindern, löschten die Angreifer auch gezielt bestehende Backups. Das Vorgehen könne also als "State of the Art" bezeichnet werden.

Dieser Artikel ist zuerst bei "Watson" erschienen. 

Lesen Sie auch: Cyberkriminelle haben Adval Tech angegriffen. In der Folge fuhr der Schweizer Industriekonzern seine IT-Systeme herunter. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.