IT-Sicherheit an Hochschulen
Forschung muss besser geschützt werden
Die Cybersicherheitslage in Deutschland ist angespannt. Der Branchenverband Bitkom schätzt den Schaden für die deutsche Wirtschaft auf über 200 Milliarden Euro pro Jahr. Betroffen sind auch wissenschaftliche Einrichtungen, zum Beispiel die Universitäten in Berlin (TU), Duisburg-Essen, Gießen und die Hochschulen für angewandte Wissenschaften in Aschaffenburg, Heilbronn und Münster. Auch die außeruniversitäre Forschung ist betroffen, beispielsweise Fraunhofer in Halle, Helmholtz in Jülich, Leibniz in Frankfurt und Max Planck in Garching. Ähnlich sieht es auch im Ausland aus, so wurden etwa im Februar 2023 die Universitäten in Zürich und Graz erfolgreich angegriffen.
Die Ziele der Cyberangreifer sind vielfältig: Erpressung durch Ransomware, Diebstahl von Rechenzeit zum Crypto-Mining, Diebstahl persönlicher Daten, Spionage. Häufig übernehmen Cyberkriminelle IT-Infrastrukturen von Hochschulen, um sie für weitere Cyberangriffe zu missbrauchen, etwa um Schadsoftware zu verteilen, Phishing-Nachrichten zu versenden oder für Denial-of-Service-Angriffe. Cyberkriminelle sind meist finanziell motiviert. Cyberspionage geht aber oft auch von staatlich gelenkten Hackergruppen aus. Laut Bundesamt für Verfassungsschutz sind Gruppen mit Verbindungen zu Russland, China, Iran und der Türkei hierbei besonders aktiv.
Cyberangriffe erzeugen massive Schäden
Die meisten der in letzter Zeit bekannt gewordenen Cyberangriffe haben Erpressung als Ziel: Die Täter schleusen Schadsoftware (Ransomware) in die IT-Systeme ihres Opfers ein und nutzen diese dann, um möglichst viele Daten zu stehlen und zu verschlüsseln. Die Verschlüsselung ist für das Opfer nicht umkehrbar, so dass die Daten zunächst verloren sind – es sei denn, das Opfer verfügt über aktuelle Sicherungskopien und Backup-Systeme, was aber erstaunlich oft nicht der Fall ist. Meistens erhält das Opfer nun eine Lösegeldforderung: Wer zahlt, der soll den zur Wiederherstellung der Daten notwendigen Entschlüsselungsschlüssel erhalten, wobei es dafür natürlich keine Garantie gibt. Zusätzlich oder alternativ wird damit gedroht, vertrauliche Daten zu veröffentlichen oder zu verkaufen. Oft hören die Opfer aber auch nie von ihren Erpressern, etwa, weil die Täter wissen, dass öffentliche Einrichtungen meist ohnehin kein Lösegeld bezahlen, oder weil es zu viele Opfer gibt und die Täter nicht alle "bedienen" können. In jedem Fall ist der entstandene Schaden immens: Verlorene Daten müssen wiederhergestellt, alle möglicherweise infizierten IT-Infrastrukturen neu aufgesetzt und alle betroffenen Verwaltungsprozesse neu gestartet werden. Das dauert oft mehrere Wochen, in denen der Betrieb dann mehr oder weniger vollständig stillsteht. Für wissenschaftliche Einrichtungen addieren sich die Kosten für die Wiederherstellung des Betriebs schnell auf kleine einstellige bis mittlere zweistellige Millionenbeträge – deutlich mehr, als durch bessere Cybersicherheit den Schaden von vornherein zu begrenzen.
Welche Einfallstore Cyberkriminelle bei wissenschaftlichen Einrichtungen finden
Um zu verstehen, wie sich wissenschaftliche Einrichtungen besser schützen können, muss man zuerst nachvollziehen, wie die Täter vorgehen. Am Anfang steht meist ein kompromittiertes Nutzerkonto, das heißt die Täter haben beispielsweise durch Phishing das Passwort eines Mitarbeitenden, Studierenden oder Dienstleisters erhalten und melden sich damit wie ein legitimer Nutzer bei einem IT-System des Opfers an. Der klassische Perimeterschutz durch VPN und Firewall kann dies offensichtlich nicht verhindern, denn die Täter erscheinen ja als legitimer Nutzer. Im Intranet werden sich die Täter nun umsehen, Hintertüren oder Schadsoftware installieren, nach ungeschützten Datenbanken und unverschlüsselt übertragenen Passwörtern suchen und nach und nach in weitere IT-Systeme des Opfers eindringen. Man sollte hoffen, dass dieses Ausbreiten auffällt, denn die Täter verhalten sich meist anders als der legitime Nutzer, kommunizieren anders und greifen auf Systeme zu, die eigentlich nur für den legitimen Nutzer bestimmt sind. Tatsächlich aber verzichten viele Einrichtungen darauf, ihr Intranet gezielt auf solch ungewöhnliches Verhalten zu überwachen, und oftmals sind die Netze und Server im Intranet vergleichsweise schlecht geschützt. Legitime Nutzer erhalten zudem häufig IT-Rechte, die weit über das Notwendige hinausgehen.
Das Eindringen und sich Ausbreiten im Intranet bleibt oft lange Zeit – nach Schätzung des Unternehmens Mandiant im weltweiten Durchschnitt 21 Tage, in manchen Fällen aber auch mehrere Monate oder gar Jahre – unbemerkt. Wird ein Angriff entdeckt, muss die angegriffene Organisation möglichst rasch Gegenmaßnahmen ergreifen. Damit das bei Bedarf schnell funktioniert, muss die Organisation sich entsprechend vorbereiten, also Meldewege und Notfallprozesse definieren und einüben, Sicherungskopien und Backup-Systeme bereit und aktuell halten. An dieser Stelle entscheidet sich, ob eine Organisation etwa einen Ransomware-Angriff nahezu unterbrechungslos übersteht oder monatelang stillsteht.
Wie angreifbar die IT-Systeme deutscher Hochschulen sind
Alle Universitäten in Deutschland sind angreifbar, aber es gibt große Unterschiede. Man kann aus wenigen Einzelfällen nicht seriös auf die Lage eines ganzen Sektors schließen. Ebenso wenig kann man aus der Existenz einer einzelnen Schwachstelle, zum Beispiel in einem einzelnen Server einer Forschungsgruppe, auf die Gesamtsicherheit der Universität schließen – oftmals sind solche Schwachstellen völlig bedeutungslos, beispielsweise, weil sie kein wichtiges System betreffen und dem Angreifer auch kein Sprungbrett zur weiteren Ausbreitung bieten.
Wir haben deshalb 2022 in einer breit angelegten, systematischen Studie die Schwachstellen der 85 deutschen Universitäten untersucht, die Mitglied in der Hochschulrektorenkonferenz sind. Für jede bestimmten wir zum Beispiel, welche geleakten Passwörter man im Darknet mit begrenztem Aufwand findet und welche Schwachstellen für die über das Internet erreichbaren IT-Systeme und für die Dienstleister der Universitäten bekannt sind. Im Gegensatz zu Penetrationstestern gaben wir uns nicht damit zufrieden, je Universität einen erfolgreichen Angriffsweg zu finden, sondern wir versuchten, ein möglichst umfassendes Bild über alle Sicherheitsprobleme der Universitäten zu bekommen, die Gemeinsamkeiten zwischen den Universitäten zu verstehen und hieraus allgemeine Ansätze zur Verbesserung der Sicherheit wissenschaftlicher Einrichtungen abzuleiten. Die detaillierten Ergebnisse unserer Studie werden den Universitäten in Zusammenarbeit mit dem Deutschen Forschungsnetz (DFN) zur Verfügung gestellt.
Bei allen Universitäten wurden wir fündig, das heißt, tatsächlich sind alle Universitäten angreifbar. Dies ist allerdings wenig überraschend – mit hinreichendem Aufwand ist vermutlich jede Organisation angreifbar. Interessanter sind die genauen Angriffsflächen und die Unterschiede zwischen den einzelnen Universitäten.
"Die Anzahl kompromittierter Passwörter pro Studierendem variiert signifikant zwischen den Universitäten."
Bei der Mehrheit der Universitäten fanden wir systematische Passwortprobleme. Beispielsweise gab es bei 73 Universitäten Gruppen von Nutzern, die jeweils ein gemeinsames Passwort gewählt hatten, das alle in der Gruppe für eine Reihe von Diensten verwenden. Diese Praxis erhöht das Kompromittierungsrisiko erheblich und dürfte in einigen Fällen auch gegen Lizenzbedingungen verstoßen. Für 55 Universitäten fanden wir Praktiken, die zu besonders schwachen Passwörtern führen. Beispielsweise enthalten Passwörter dort häufig den Nutzernamen, den Ort der Universität oder den Namen des Dienstes ("Dropbox", "Github"). Die Anzahl kompromittierter Passwörter pro Studierendem variiert signifikant zwischen den Universitäten, das heißt diese Anzahl scheint weniger von der Größe der Universität, sondern mehr von der Qualität ihrer Cybersicherheit (beispielsweise Nutzerschulung, Schutz gegen Passwortdiebstahl durch Infostealer-Malware) abzuhängen.
Über alle Universitäten hinweg fanden wir mehrere tausend bekannte Schwachstellen in zentralen IT-Diensten (zum Beispiel E-Mail, DNS, VPN, Fernzugriff, Single-Sign-On und Druckservices). Uns fiel dabei eine schwache Korrelation zwischen der Anzahl kompromittierter Passwörter und der Anzahl von Schwachstellen einer Universität auf, was wiederum nahelegt, dass es sehr große Unterschiede in der Qualität der Cybersicherheit zwischen den Universitäten gibt.
Universitäten stehen bei der IT-Sicherheit vor besonderen Herausforderungen
Cybersicherheit stellt für alle Organisationen eine große Herausforderung dar, und viele der Probleme, die wir in wissenschaftlichen Einrichtungen gefunden haben, finden sich gleichermaßen auch in Unternehmen und Behörden, etwa veraltete und schlecht gewartete IT-Systeme, schlecht gewählte und mehrfach verwendete Passwörter, fehlende oder falsch konfigurierte Sicherheitsmechanismen. Hinzu kommt aber eine Reihe von Herausforderungen, die sich aus den spezifischen Strukturen und Aufgaben wissenschaftlicher Einrichtungen ableiten.
"Viele der Probleme in wissenschaftlichen Einrichtungen finden sich gleichermaßen auch in Unternehmen und Behörden."
Wissenschaftliche Einrichtungen müssen ihre IT-Dienste einem großen, offenen Kreis von Nutzern anbieten: Mitarbeitenden, Studierenden, Gastwissenschaftlern, Forschungspartnern, teilweise auch einer breiten Fachöffentlichkeit. Das ist gewollt und notwendig, macht es Cyberkriminellen aber natürlich besonders einfach und den Sicherheitsverantwortlichen zugleich besonders schwer. Umso wichtiger ist es, dass solche Einrichtungen die eigene IT-Struktur entsprechend organisieren, segmentieren und unterschiedliche Bereiche strikt voneinander trennen. Insbesondere die zentrale Verwaltung und andere für den Betrieb der Einrichtung essenzielle Bereiche müssen besonders gesichert und von den anderen Bereichen getrennt sein. Auf diese Weise wird es Cyberangreifern erschwert, sich in diese essenziellen Bereiche hinein auszubreiten. Die unterschiedlichen Nutzerkreise müssen jeweils spezifisch angesprochen und durch Schulungen auf mögliche Cyberangriffe und Vorfälle vorbereitet werden.
Wie die IT-Sicherheit an Hochschulen geregelt sein sollte
Eine weitere Herausforderung besteht in den speziellen Organisationsstrukturen von Hochschulen. Die Hochschulleitung hat meist die volle Kontrolle über den zentralen Verwaltungsapparat und über zentrale IT-Dienste. Darüber hinaus liegt die Verantwortung aber oft bei den dezentralen Strukturen, also bei den Fakultäten, Fachbereichen, Instituten und einzelnen Professuren und Forschungsgruppen. Diese haben selten die Ressourcen und das Wissen, die eigene IT ausreichend abzusichern. Die zentralen und dezentralen Systeme sind zwangsläufig miteinander verbunden, da die meisten Mitarbeitenden in beiden Bereichen Aufgaben haben. Gelingt es einem Cyberkriminellen, eine einzige Forschungsgruppe zu kompromittieren, so hat er gute Chancen, von dort aus auch in die IT der zentralen Verwaltung vorzudringen. Die einzige Möglichkeit, dieser Gefahr entgegenzutreten, ist ein für die ganze Hochschule einheitliches IT-Sicherheitskonzept umzusetzen. IT-Dienste, die keinen direkten Bezug zum Forschungsgegenstand einer Forschungsgruppe haben, sollten standardisiert und zentral und verbindlich angeboten werden. IT-Dienste, die nicht zentral angeboten werden können, sollten möglichst isoliert und die Übergänge zur restlichen IT besonders abgesichert und überwacht werden.
Damit all dies machbar ist, braucht es eine leistungsfähige IT-Sicherheitsorganisation und einen möglichst nahe an der Hochschulleitung angesiedelten und mit ausreichend Budget und Entscheidungskompetenz versehenen IT-Sicherheitsverantwortlichen (CISO, Chief Information Security Officer). Das IT-Sicherheitsbudget sollte wenigstens zehn Prozent des gesamten IT-Budgets ausmachen, der CISO sollte ein Vetorecht für jede IT-Maßnahme der Hochschule haben und das CISO-Personal sollte industrieübliche Vergütungen erhalten. Die Realität sieht leider oft anders aus: Viele Universitäten haben mittlerweile hauptamtliche CISOs, aber oft ist die CISO-Funktion immer noch eine Zusatzaufgabe. Das Budget ist knapp bemessen. Das CISO-Personal besteht oft größtenteils aus befristet eingestellten und nach TVöD bezahlten wissenschaftlichen Mitarbeitenden.
Moderne Sicherheitsarchitekturen für Forschung und Lehre
Eine gute CISO-Organisation ist aber nicht die einzige Voraussetzung, um wissenschaftliche Einrichtungen in Zukunft besser abzusichern. Es braucht auch eine IT-Sicherheitsarchitektur, die einerseits auf die Bedürfnisse von Forschung und Lehre abgestimmt ist und andererseits der oben skizzierten Bedrohungslage Rechnung trägt. Eine Sicherheitsarchitektur, die im Wesentlichen mit VPN und Firewall den Perimeter nach außen und zwischen Verwaltungseinheiten schützt, ist nicht mehr zeitgemäß. Die Erfahrung zeigt, dass Cyberkriminelle jeden Perimeter überwinden können, sei es mit einem geleakten Passwort, einer Schwachstelle oder mit Hilfe eines Innentäters.
"Eine Sicherheitsarchitektur, die mit VPN und Firewall den Perimeter nach außen und zwischen Verwaltungseinheiten schützt, ist nicht mehr zeitgemäß."
In dem vom BMBF geförderten und von ATHENE unterstützten Projekt AIGIS-Lab bauen wir an der Goethe-Universität Frankfurt und im Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt ein Reallabor für moderne Cybersicherheit in Forschungseinrichtungen auf. Wir entwickeln Referenzarchitekturen und Implementierungen, die aufzeigen, wie man unter Beachtung beispielsweise des Datenschutzes und anderer Anforderungen eine IT-Infrastruktur so aufbaut und absichert, dass ein weiteres unbemerktes Ausbreiten von Cyberangreifern weitgehend ausgeschlossen werden kann. Das Grundprinzip hierfür nennt sich "Zero Trust". Dies bedeutet, dass jedes Teilsystem, jedes Netzsegment, jede Anwendung getrennt von den anderen abgesichert wird. Nutzer und Teilsysteme erhalten jeweils nur die zu einem gegebenen Zeitpunkt unbedingt notwendigen Rechte und müssen ihre Identität und ihre Rechte bei jedem Zugriff auf ein anderes Teilsystem nachweisen. Passwörter werden durch sicherere, insbesondere gegen Phishing resistente und möglichst passwortlose Anmeldemethoden ersetzt. Alle Daten und Nachrichten werden verschlüsselt. Alles wird soweit möglich überwacht und auf Anzeichen eines Angriffs untersucht. Die Referenzarchitektur wird noch in 2023 veröffentlicht.
