Abwehr von Cyberattacken
Hochschulen arbeiten an besserem IT-Schutz
Eine Vielzahl parallel laufender Prozesse, unterschiedliche Anforderungen für Verwaltung und Forschung, privat mitgebrachte Endgeräte: Die Cybersicherheit an Hochschulen ist komplex. Hinzu kommt die Personalknappheit in der IT. Hochschulen hätten im Schnitt zwischen 0,25 und einer Stelle für die Informationssicherheit, sagte IT-Experte Professor Manfred Paul im Interview – zu wenig, um sich ausreichend zu schützen.
Nach dem Cyberangriff auf seine Hochschule sprach der Präsident der Justus-Liebig-Universität Gießen (JLU) in der aktuellen Ausgabe von Forschung & Lehre von einem "Weckruf" für die Cybersicherheit. Seine Hochschule stelle sich in der IT-Sicherheit neu auf. Details gibt die JLU aus Sicherheitsgründen nicht bekannt. Nach bisherigen Informationen konnten bei dem Cyberangriff im Dezember keine Daten abgegriffen oder geblockt werden. Durch eine Meldung der Überwachungsmechanismen der Hochschule habe das Rechenzentrum der Hochschule früh eingreifen können, wie eine Sprecherin der JLU mitteilte.
Oft würden Angriffe an Hochschulen erst bemerkt, wenn Beschäftigte feststellten, dass ihre Rechner nicht normal liefen, sagt Paul, Sprecher des Arbeitskreises Informationssicherheit der "Zentren für Kommunikationsverarbeitung in Forschung und Lehre" (ZKI). Ziel müsse es sein, "Next-Generation-IT-Security-Systeme" einzusetzen, die auf Angriffe möglichst automatisiert reagierten. "Hier besteht Nachholbedarf in der Hochschullandschaft."
Mit Einschätzungen zum besten Schutz für Hochschulen hält sich das Deutsche Forschungsnetz (DFN) auf Nachfrage zurück. Zu individuell seien die Anforderungen der Hochschulen. Den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bezeichnete eine Sprecherin als einen "guten Startpunkt". Gleiches gelte für das Informationssicherheitsmanagementsystem "ISIS12". An der Universität Bamberg hat es Rechenzentrumsleiter Dr. Hartmut Plehn als "abgespeckte Version" des BSI-Grundschutzes eingeführt.
"Das System ist ursprünglich für kleine und mittlere Unternehmen in der Größe von mehreren hundert Endgeräten entwickelt worden", erklärt er. "Wir sind der Meinung, dass es auch für eine Hochschulgröße wie unsere mit rund 3.000 Endgeräten die wesentlichen Aspekte der Informationssicherheit behandelt." Wichtig sei, Systeme wie "ISIS12" auf die speziellen Erfordernisse der Hochschule anzupassen und zu erweitern – und das immer wieder. "IT-Sicherheit ist ein fortlaufender Prozess", so Plehn. Das BSI arbeitet derweil mit dem Arbeitskreis Informationssicherheit des ZKI an einem IT-Grundschutzprofil speziell für Hochschulen. Im März 2020 soll es veröffentlicht werden.
BSI: Ransomware größte Gefahr
Die größte Bedrohung sieht das BSI derzeit in sogenannten Ransomware-Angriffen. Wenn es schlecht läuft, werden dabei Daten auf einzelnen Rechnern verschlüsselt. Meist schalten Hacker diese nur gegen Lösegeld wieder frei. Auch bei dem Angriff auf die Universität Gießen handelte es sich um eine solche Schadsoftware. Lösegeld sei laut Angaben der Hochschule aber nicht gefordert worden.
Die Sicherheitslage hat sich laut BSI "weiter zugespitzt". Die Ziele der Angreifer deckten dabei eine große Bandbreite ab. "Während auf der einen Seite das Know-how, das Universitäten und andere Forschungseinrichtungen ansammeln, von großem Interesse sein kann, können die Einrichtungen auch Ziel monetärer erpresserisch motivierter Cyberangriffe sein." Daneben gebe es auch Angriffe mit politischem Hintergrund, den sogenannten "Hacktivismus". Dabei würden zum Beispiel auf Netzwerkdruckern der Universitäten in großer Zahl Texte mit bestimmten politischen Statements gedruckt. Umfassende Zahlen zu Angriffen auf Universitäten liegen dem BSI auf Rückfrage nicht vor. Die Bundeseinrichtung ruft jedoch dazu auf, Cyberangriffe zu melden. So könne das BSI passende Sicherheitsempfehlungen erstellen.
"IT-Schutz muss immer die Anforderungen der Nutzer im Blick halten, sonst geht die Akzeptanz verloren." Hartmut Plehn, Universität Bamberg
Das Bundesministerium für Bildung und Forschung (BMBF) schreibt, dass "in den vergangenen Wochen und Monaten die Ransomware-Angriffe auf Organisationen wie Unternehmen, Behörden oder andere Einrichtungen der öffentlichen Hand, wie etwa Hochschulen, massiv zugenommen haben". Von einer neuen Bedrohungslage könne aber nicht gesprochen werden.
Das Wissenschaftsministerium in Hessen, Standort der Universität Gießen, meldete zurück, dass die Landesverwaltung an einer neuen Sicherheitslinie arbeite und das Personal in der IT-Sicherheit "deutlich" ausgebaut werden solle. Genaue Zahlen für die Hochschulen sind nicht bekannt. Das Ministerium verweist außerdem auf die geforderte Zusammenarbeit im IT-Schutz zwischen verschiedenen Einrichtungen. Dabei sei man froh, mit dem Darmstädter Institut für Cybersicherheit "Athene" eine besondere Kompetenz im Land zu haben. Die Einrichtung unterstützt aktuell die JLU dabei, den Cyberangriff auf die Hochschule aufzuarbeiten.
Paul vom ZKI hofft, dass der "Weckruf" in Gießen Tatsachen schafft. "In der Politik muss sich die Erkenntnis durchsetzen, dass IT-Sicherheit nicht zum Nulltarif zu haben ist. Es reicht nicht, mehr Digitalisierung zu fordern und, wie in Bayern, neue Stellen und Professuren für KI zu schaffen, wenn gleichzeitig die Infrastruktur nicht im selben Maße Berücksichtigung findet und neuen Entwicklungen, wie der zunehmenden Vernetzung, sicherheitstechnisch nichts entgegengesetzt werden kann", sagte er.
Wichtig sei, dass IT-Abteilungen die Rückendeckung der Hochschulleitung erhielten, betonte Plehn von der Universität Bamberg. Die IT-Sicherheit präge schließlich alle Abläufe der Hochschule, ob in Verwaltung oder Forschung. Sicherheitsmaßnahmen dürften dabei nicht über das Ziel hinausschießen. "IT-Schutz muss immer die Anforderungen der Nutzer im Blick halten, sonst geht die Akzeptanz verloren. Und Maßnahmen ohne Akzeptanz führen nicht zu mehr Sicherheit, sondern zu Verunsicherung, Angst und Umgehungsstrategien", betont Plehn.
