Die Universität von Maastricht streicht durch die Rückzahlung von Lösegeld nach einer Cyberattacke einen dicken Gewinn ein

Es ist ja so: In Filmen freuen wir uns, wenn der Bösewicht den Kürzeren zieht und dadurch Gerechtigkeit hergestellt wird. Normalerweise reicht uns das schon. Dass aber das Opfer sogar als Sieger hervorgeht – das ist selten. Manchmal schreibt das Leben die schönsten Geschichten. Und oft fangen diese Geschichten mit einem schrecklichen Auftakt an. Am 23. Dezember 2019, als alle im Weihnachtsurlaub waren und Corona noch als eine rätselhafte Epidemie im fernen China durch die Nachrichtensendungen spukte, nutzte ein Hacker die Gunst der Stunde und verschlüsselte im Rahmen einer Ransomware-Attacke Daten der Universität Maastricht. Die Weihnachtszeit und die Zeit zwischen den Jahren ist besonders beliebt bei Hackern, weil dann fast alle im Urlaub sind – auch die Gießener Justus-Liebig-Universität war im Dezember 2019 nach einer Cyberattacke mehrere Wochen lang offline.
In Maastricht, wo der „cyberaanval“, wie ein Cyberangriff so schön im Niederländischen heißt, ebenfalls für sehr viel Stress sorgte, entschied man sich dazu, das Lösegeld zu bezahlen, um die Daten wieder entschlüsseln zu lassen. Etwa 197.000 Euro wurden gefordert – wie sich das für einen anständigen Hacker gehört natürlich in Kryptowährung. Die Verantwortlichen an der Universität entschieden sich für Bitcoin. Eine weise Entscheidung, wie sich später noch herausstellen sollte!
Die niederländische Polizei verrichtete ordentliche Arbeit und konnte den Fall aufklären. Im April 2022 wurde die Kryptowährung beschlagnahmt – und dank der erheblichen Kursschwankungen konnte sich die Universität über einen satten Gewinn freuen. Das zurückerhaltene Lösegeld hatte sich mehr als verdoppelt! Knapp eine halbe Million Euro waren aus den 197.000 Euro geworden.
Die Uni behielt das Geld aber nicht, sondern ließ den Gewinn einem Fonds für bedürftige Studenten zukommen. Eine äußerst edle Handlung!
Hat es sich also für die Uni gelohnt, Opfer einer Cyberattacke zu werden, die aufgeklärt werden konnte? Nein, natürlich nicht, denn der Vorfall hat die Uni weit mehr als die geforderte Lösegeldsumme gekostet. Es musste unter anderem ein Cybersicherheitsunternehmen beauftragt werden, das sich der Sache annahm und es entstanden zusätzliche Sachkosten und Arbeitsstunden.
Die Geschichte hinter der Geschichte ist also nicht ganz so märchenhaft, wie sie jetzt erzählt wird.
Um nur mal ein Gefühl dafür zu bekommen, welche Kosten eine Cyberattacke mit sich bringen kann: An der Uni Gießen, die in etwa zeitgleich Opfer der Ransomware Ryuk wurde, entstanden durch die Attacke Kosten in Höhe von ca. 1,7 Millionen Euro. Lösegeldforderungen gab es keine. „JLUoffline“, wie der Fall hieß, verursachte gut eine Million Euro an zusätzlichen Personalkosten (etwa durch zusätzliche Arbeitsstunden für Scanverfahren und Zusatzkräfte) und eine dreiviertel Million Euro an Sachkosten (Hard- und Software und Beauftragung externer Firmen). Solch eine Summe stellt natürlich eine enorme Zusatzbelastung für den Haushalt einer Universität dar. Im Vergleich dazu ist die Maastrichter Uni vergleichsweise glimpflich davongekommen. Aber sie hätten sich den Vorfall sicher lieber gespart – auch wenn es jetzt ein schönes Cybersecurity-Märchen mit richtigem Happy End geworden ist…