Institut für Hochschulentwicklung
Gebündelte Infos und Tipps zu Cyber-Angriffen auf Hochschulen
Hochschulen geraten zunehmend ins Visier von Cyber-Kriminellen – und sind auf diese Bedrohungslage nur unzureichend vorbereitet (Forschung & Lehre berichtete). Das HIS-Institut für Hochschulentwicklung (HIS-HE) will hier Abhilfe schaffen und hat nun die Beiträge einer im letzten Jahr veranstalteten Tagung veröffentlicht. Diese befasste sich unter anderem mit Krisenkommunikation, (präventiven) Maßnahmen und rechtlichen Rahmenbedingungen. Außerdem enthält der Tagungsband den Erfahrungsbericht einer betroffenen Hochschule sowie die Ergebnisse eines IT-Sicherheitstests.
Das Ausmaß des Problems verdeutlicht der erste Beitrag des Bandes: Zum Jahreswechsel 2023 unternahm der ethische Hacker René Rehme, begleitet von der Tech-Journalistin Eva Wolfangel, probeweise einen Angriff auf über 70 Hochschul-IT-Systeme und stieß bei jeder fünften Hochschule auf zum Teil gravierende Sicherheitslücken. "Bei mindestens vier Universitäten und Hochschulen – nämlich der Universität Düsseldorf, der Universität Tübingen, der Uni Bremen und der Hochschule Niederrhein – kamen wir an Stellen, an denen es möglich gewesen wäre, tiefer in interne Systeme einzudringen", heißt es im Bericht. Bei zehn weiteren Hochschulen hätten zudem sensible Daten von Studierenden und Mitarbeitenden heruntergeladen werden können.
Bei der investigativen Recherche wurde außerdem Schadcode früherer Angriffe gefunden, die von den Hochschulen unentdeckt geblieben waren. Überraschungen habe es für das Team auch im Rahmen der Kontaktaufnahme mit den betroffenen Hochschulen gegeben: Manche seien kaum erreichbar gewesen, gemeldete Sicherheitslücken hätten in einzelnen Fällen auch noch Wochen später bestanden. Zudem hätten einige der Hochschulen die festgestellten Datenschutzpannen trotz Meldepflicht nicht an die zuständigen Datenschutzbehörden weitergegeben.
Wie Kommunikation gelingt, wenn übliche Kanäle ausfallen
Aus der Analyse von fünf betroffenen Hochschulen leitet der Beitrag des Herausgeberteams Dr. Mathias Stein, Dr. Maren Lübcke und Dr. Harald Gilch Empfehlungen für die Vorbereitung auf einen Cyber-Angriff ab: So sei es neben der permanenten Überwachung des Systems wichtig, im Vorfeld Entscheidungs- und Kommunikationskanäle einzurichten.
Es brauche sowohl ein IT-Kernteam einschließlich einer Stellvertreterregelung als auch die frühzeitige Involvierung der Hochschulleitung sowie die Einrichtung eines übergeordneten Krisenstabs. Bei der Analyse habe sich herausgestellt, dass Krisenpläne und Kontaktnummern zwar durchaus vorhanden waren, diese im Notfall aber wegen des fehlenden IT-Zugangs nicht abrufbar und zudem nicht auf aktuellem Stand waren.
Eine Empfehlung der Hochschule Hannover (HsH), die Ende 2023 Opfer eines Cyber-Angriffs war, ist die Einrichtung alternativer Kommunikationskanäle für den Fall der Fälle. Insbesondere müssten Lösungen für die "Massenkommunikation ohne Verteiler" bereitstehen. Weil E-Mail, Telefon, Intranet und Website bei umfangreichen Angriffen häufig ausfallen, muss laut HIS-HE unter Umständen auf private E-Mail-Konten, Messenger-Dienste und soziale Medien zurückgegriffen werden. Wie aus dem Erfahrungsbericht des Präsidenten der HsH, Professor Josef von Helden, hervorgeht, haben der Hochschule insbesondere die Notfall-Website und ein zentraler Helpdesk gute Dienste bei der Krisenkommunikation geleistet.
Zentrale Hochschulprozesse priorisieren
Weil die Rückkehr zum Normalzustand Monate dauern kann, sei es entscheidend, frühzeitig Prioritäten für die Wiederherstellung der betroffenen Systeme festzulegen, betonen Stein, Lübcke und Gilch in ihrem Beitrag. Ein solcher Zeitplan hänge nicht zuletzt vom Zeitpunkt des Angriffs während des Semesters ab: Während der Immatrikulationsphase könnten andere Systeme Vorrang haben als in der Prüfungsphase. Hingewiesen wird zudem auf mögliche Folgeschäden für Forschende: Der unterbrochene Datenfluss könne zum Beispiel Auswirkungen auf laufende Experimente, die Berichterstattung an Drittmittelgeber oder die Einhaltung von Fristen haben.
Auch die Hochschulrektorenkonferenz (HRK) hat im Frühjahr Empfehlungen zu digitalen Sicherheitsmaßnahmen veröffentlicht. Sie rät den Hochschulen insbesondere zu Konzepten abgestufter Sicherheit, um den IT-Hochschulbetrieb aufrechtzuerhalten und besonders schützenswerte Daten abzuschirmen. Es gelte auch, die Angriffsfläche zu verringern, etwa indem nicht alle Daten öffentlich über das Internet zur Verfügung gestellt würden. Bei der Veröffentlichung des Papiers mahnte HRK-Präsident, Professor Walter Rosenthal, ein breites Bündnis Cybersicherheit für Hochschulen an. Wegen ihrer Daten aus den Bereichen Forschung, Lehre, Transfer, Technik und Verwaltung seien Hochschulen ein zentrales Ziel von Cyber-Angriffen.
