• Home
  • Management
  • Hochschulen sind anfälliger für Cyberangriffe geworden
Der Flur eines großen Rechenzentrums mit bunt beleuchteten Serverschränken an beiden Seiten.
mauritius images / Westend61 / Mischa Keijser

IT-Sicherheit
Hochschulen sind anfälliger für Cyberangriffe geworden

Eine empirische Studie zur IT-Sicherheit deutet auf eine wachsende Angriffsfläche hin. Dabei ist Cybersicherheit nicht nur ein technisches Problem.

Von Haya Schulmann, Michael Waidner 12.12.2025

Cyberangriffe auf Hochschulen haben sich von punktuellen Störfällen zu einem strukturellen Risiko entwickelt. Doch wie exponiert ist die IT der deutschen Wissenschaft tatsächlich? Unsere Längsschnittstudie an 92 deutschen Universitäten über drei Jahre gibt systematische Antworten – und zeigt: Die IT-Landschaft wächst rasant und verlagert sich nach außen. Die Sicherheitsprobleme nehmen überproportional zu. 

Cybersicherheit an Hochschulen ist dabei kein reines technisches Problem, sondern auch das Ergebnis struktureller Entscheidungen auf Landes- und Universitätsebene. Die stärksten Hebel für Verbesserungen liegen in der verbindlichen Nutzung geteilter Dienste, zielgerichteter Finanzierung von Sicherheit, automatisierten Cyberhygieneprozessen für kleine IT-Umgebungen, verbindlichen Standards für Auslagerung sowie interoperablen Strukturen über Ländergrenzen hinweg. 

Eine freiwillige Anwendung der NIS-2-Richtlinie der EU (zweite Network and Information Systems Directive) böte einen guten Rahmen. 

Umfangreiche Längsschnittstudie der IT-Landschaft 

Im Forschungsbereich ScienceShield von ATHENE haben wir über drei Jahre die erste systematische Längsschnittanalyse der IT-Landschaft deutscher Hochschulen und ihrer externen Angriffsfläche durchgeführt. Für die 92 Mitgliedsuniversitäten der Hochschulrektorenkonferenz erfassten wir die öffentlich erreichbaren IT-Ressourcen: rund 21.500 Internet-Domänen, 2,08 Millionen Unterdomänen, 6,83 Millionen lokale IP-Adressen sowie 283.000 externe und 3.000 Cloud-IP-Adressen. 

Für jede Ressource erfassten wir technische Konfigurationen wie E-Mail-Infrastruktur, DNS-Einstellungen (Domain Name System, das Telefonbuch des Internets), Webdienste, Zertifikate und exponierte Netzwerkdienste. Wir arbeiteten ausschließlich mit öffentlich sichtbaren Konfigurationen und haben strenge Datenschutzstandards eingehalten. Aus dieser umfassenden Datenbasis lassen sich fünf zentrale Erkenntnisse ableiten – mit direkten Konsequenzen für die Hochschul- und Landespolitik. Wir stellen diese Erkenntnisse bewusst an den Anfang, denn sie zeigen, wie Verbesserungen herbeigeführt werden können. Die empirischen Befunde, die diese Schlussfolgerungen stützen, folgen im Anschluss.

Aus Ausgabe 12/25

Jetzt lesen

Die fünf wichtigsten Erkenntnisse 

Inventarlücken schließen

Wer nicht weiß, welche Systeme er betreibt, kann sie nicht schützen. Die stärkste Vorhersagekraft für schlechte Sicherheit haben Inventarlücken: nicht gepflegte Namensräume, vergessene Projekt-Websites und Server, ausgelaufene Kooperationen. Kennzeichen sind verwaiste DNS-Einträge, widersprüchliche E-Mail-Konfigurationen und Zertifikatsfehler. Ohne zuverlässige Inventarisierung kann man nicht absichern, was man nicht kennt.

Dringende Empfehlung: Hochschulen müssen alle IT-Ressourcen systematisch erfassen (Asset-Discovery) und Verantwortlichkeiten klären – zentrale Namensraumvorgaben; zentrale Domain-Registrierung mit Verantwortlichen und Ablaufdatum; monatliche Außerbetriebstellung verwaister Dienste. Auf dieser Grundlage sollten dann das Einspielen von Sicherheitsupdates, die Verwaltung von Zertifikaten und die E-Mail-Sicherheit für die gesamte Hochschule automatisiert werden.

Automatisierung schlägt Handarbeit ‡ – auch bei kleinen Teams

Große Universitäten haben im Allgemeinen eine größere IT und damit auch mehr Schwachstellen, aber viermal bessere Sicherheitskennzahlen pro Dienst als kleine. Der Grund ist der Skalene„ffekt – ab einer bestimmten Größe rechnet sich ein Team, das Sicherheit als standardisiertes Produkt betreibt, zum Beispiel zentral verwaltete Basiskonfigurationen, mandantenfähige Überwachung und automatisierte Cyberhygieneprozesse. 

Viele unserer Sicherheitsbefunde sind im Kern Steuerungs- und Verwaltungsprobleme, für die es erprobte Lösungen im IT-Servicemanagement gibt: mehrere unabhängig betriebene Identitäten, unklare Delegationen, kein Lifecycle-Management (das heißt keine Verwaltung von IT-Systemen von ihrer Einführung bis zu ihrer Stilllegung) mit klaren Fristen und fehlende Prozesse zur Außerbetriebnahme. 

Kleine IT-Umgebungen arbeiten dagegen oft "manufakturhaft" mit Personenwissen und Einzelfalllösungen. Sie können aber von großen lernen. Wirkungsvolle Maßnahmen mit vergleichsweise geringem Aufwand sind: Zertifikatsverwaltung zur Vermeidung abgelaufener Zertifikate; flächendeckende SPF/DMARC-Standardrichtlinien gegen E-Mail-Fälschung; Namensraumvorgaben mit monatlicher Außerbetriebstellung und Vorabprüfungen für DNS und Zertifikate. Diese Maßnahmen sind automatisierbar und reduzieren genau die Problemklassen, in denen kleine IT-Umgebungen schlechter abschneiden. 

Der stärkste Hebel: landesweite Lösungen 

Landesweit gemeinsam genutzte Dienste und föderale Standards sind besser als Einzellösungen. Länder mit homogenen Sicherheitsprofilen – Sachsen, Bayern, Hamburg, Baden-Württemberg – haben landesweite SOC/CERT-Strukturen (Security Operations Center/Computer Emergency Response Team), geteilte Kommunikationskanäle, gemeinsame rechtliche Rahmenwerke und koordinierte CERT-Anbindung. Wo Länder Sicherheitsleistungen bündeln, sinkt die Streuung zwischen Hochschulen und das Grundniveau der IT-Sicherheit steigt. Das führt zu weniger Ausreißern nach unten, klareren Grundlinien und robusteren Gesamtsystemen. 

"Insbesondere kleine Universitäten können durch Anschluss an Landesdienste ihre strukturellen Nachteile ausgleichen."

Maßgeblich für den Erfolg sind die verbindliche Teilnahme, ein transparentes Berichtswesen, gemeinsame Werkzeuge (zum Beispiel mandantenfähige Scan-Plattformen, zentrales Zertifikatsmanagement) und einheitliche Kommunikationskanäle (gleiche Warnungen und gleiche Reaktionsmuster). Ein verlässliches Grundniveau entsteht durch geteilte Dienste, nicht durch lokale Anstrengungen. Insbesondere kleine Universitäten können durch Anschluss an Landesdienste ihre strukturellen Nachteile ausgleichen. 

Idealerweise erstrecken sich diese Sicherheitsstandards und Angebote von Diensten über Ländergrenzen hinweg. Das hilft der Gesamtsicherheit, und Universitäten mit länderübergreifenden Standorten fallen ansonsten durch die Raster. Am sinnvollsten wäre es daher, wenn die Rahmenstandards auf Bundesebene gesetzt würden, etwa in freiwilliger Anwendung der NIS-2-Richtlinie. 

Die Auslagerung von Diensten braucht Qualitätsstandards

Dienstleister gelten oft als Patentrezept für mehr Sicherheit – aber ohne Qualitätssicherung ist das Gegenteil der Fall. Bei extern betriebenen Ressourcen treten häufiger veraltete Software mit Sicherheitslücken und alte, nicht mehr gewartete Systeme und unkontrollierte Veränderungen im Inventar (Inventar-Drift) auf – verbunden mit verwaisten DNS-Ketten und veralteten Zertifikaten. Das sind bekannte Muster: Dienstleister haben oft sehr begrenzte Kapazitäten und kein durchgängiges Lifecycle-Management. Auch bei Cloud-Diensten häufen sich Fehlkonfigurationen, öff„entlich erreichbare Dienste und inkonsistente Zertifikate. 

Die Konsequenz: Nicht der Ort der Diensterbringung – lokal, externer Dienstleister, Cloud – ist entscheidend, sondern verbindliche Standards: Service-Level-Vereinbarungen für Patch-Zyklen, Prüfmechanismen vor Produktivsetzung, verpflichtende Asset-Dokumentation und dokumentierte Routinen zur Außerbetriebnahme. Cloud braucht Engineering: automatisierte Infrastrukturverwaltung (Infrastructure-as-Code), Standardvorlagen, verpflichtende Prüfungen in der Entwicklungspipeline, Zugri„ffskontrollen sowie eine automatische Stilllegung nicht mehr benötigter Ressourcen. Nur wenn solche Standards existieren und durchgesetzt werden, kann die Auslagerung von Diensten die Sicherheit verbessern.

E-Mail- und Zertifikatshygiene sind Frühindikatoren

Kleine, messbare Probleme zeigen große, versteckte Risiken. Ein geringer Anteil abgesicherter E-Mail-Systeme und viele abgelaufene Zertifikate korrelieren mit breiterer Exponierung in anderen Bereichen. Diese Metriken sind einfach zu messen und damit ideal als erste Leitkennzahlen für Hochschulleitungen. Wer bei E-Mail-Sicherheit über 95 Prozent Abdeckung erreicht und Zertifikatserneuerung automatisiert, reduziert erfahrungsgemäß auch andere Problemklassen.

Schwerpunkt IT-Sicherheit 

Hochschulen verarbeiten eine Menge personenbezogener und forschungsrelevanter Daten. Dadurch sind sie auch für Cyberkriminelle interessant. Beiträge über den Stand der IT-Sicherheit an Hochschulen, Fortschritte und Hindernisse finden Sie in unserem Online-Themenschwerpunkt "IT-Sicherheit".

Empirische Befunde 

Diese fünf Erkenntnisse und Empfehlungen beruhen auf systematischen Messungen über drei Jahre. Im Folgenden zeigen wir die wichtigsten empirischen Befunde: 

Dramatische Verschärfung der Sicherheitslage

Zwischen 2023 und 2025 verschärft sich die Sicherheitslage massiv. Verwertbare Schwachstellen steigen von 8.373 Fällen (2023) auf 26.233 (2024) – ein Anstieg um den Faktor 3. Das Niveau bleibt 2025 mit 25.200 Schwachstellen hoch. Der Median pro Universität springt von 39,5 auf 185,5 – das ist ein Faktor von 4 bis 5. 

"Es werden nicht nur mehr Dienste betrieben – pro Dienst gibt es deutlich mehr Schwachstellen."

Noch alarmierender: Die Dichte an Schwachstellen pro 10.000 Subdomains verdrei- bis vervierfacht sich (von 34,9 auf 146,2). Es werden nicht nur mehr Dienste betrieben – pro Dienst gibt es deutlich mehr Schwachstellen. Das korreliert zeitlich exakt mit der Phase, in der externe und Cloud-gehostete Dienste massiv zunehmen. 

Mangelnde DNS-Hygiene wird vom Einzelfall zum Massenphänomen. Veraltete DNS-Einträge waren 2023 faktisch nicht messbar. 2025 explodiert die Zahl auf 56.785 Fälle – 76,1 Prozent der Universitäten sind betroff„en. Diese Entwicklung passt zur Infrastrukturentwicklung: mehr Domains, mehr externe Provider, mehr Umzüge – aber kein konsequentes DNS-Lifecycle-Management. 

Bei 44,6 Prozent der Universitäten fanden wir 2025 exponierte Netzwerkdienste ohne Authentifizierung oder mit Standard-Zugangsdaten, im Gegensatz zu nur 30,4 Prozent im Jahr 2023. 

Wachstum und Verlagerung nach außen

Die IT-Landschaft wächst und verlagert sich fundamental. Die Domainzahl wächst um 27 Prozent (von 16.924 in 2023 auf 21.517 in 2025). Die Anzahl lokal gehosteter Subdomains bleibt nahezu konstant (etwa 1,64 Millionen), ihr Anteil sinkt aber von 85,0 Prozent auf 79,2 Prozent. Extern gehostete Subdomains wachsen dagegen um 48 Prozent – von 288.000 auf 426.000. Cloud-gehostete Subdomains wachsen um 159 Prozent – von 2.445 auf 6.321. 

Die Botschaft: Die lokale Kapazität stagniert, während externe Hoster und Cloud-Dienste überproportional zulegen. Bei der Cloud dominiert Amazon Web Services, dessen Anteil von 30,5 Prozent in 2023 auf 50,1 Prozent in 2025 steigt. Regional zeigen sich unterschiedliche Strategien: Ostdeutsche Universitäten halten 89,8 Prozent lokal und verschieben vorsichtig nach außen. Westdeutsche Universitäten setzen deutlich stärker auf externe Provider und Cloud (nur noch 76,8 Prozent lokal, 22,9 Prozent extern). 

Größe schlägt Einzelmaßnahmen

Kleine Universitäten (unter 11.000 Subdomains) haben im Median etwa 780 verwertbare Schwachstellen pro 10.000 Subdomains. Große Universitäten (über 33.000 Subdomains) haben nur etwa 190 – viermal bessere Werte. Die Korrelation ist stark: Mehr Domains, mehr Subdomains und mehr externe Dienste führen zu mehr absoluten Schwachstellen. Aber wenn wir die Schwachstellen pro 10.000 Subdomains betrachten, dreht sich das Bild komplett. 

Die Top Ten nach Schwachstellendichte sind überwiegend kleine Hochschulen. Demgegenüber haben große Voll- und Technische Universitäten wie die Ruhr-Universität Bochum, die RWTH Aachen oder die Universität Bremen zwar hohe absolute Zahlen, aber deutlich bessere Raten pro IT-Ressource. 

Landesdienste wirken– messbar

Die Streuung der Schwachstellendichten innerhalb der Bundesländer variiert erheblich. Die Länder mit der niedrigsten Streuung (homogenste Sicherheitsprofile) sind Sachsen, Bayern, Hamburg und Baden-Württemberg. Der Unterschied in der Streuung korreliert direkt mit dem Vorhandensein landesweiter SOC/CERT-Strukturen und gemeinsamer Standards. 

Outsourcing ohne Standards verschlechtert die Lage

Wir sehen bei extern betriebenen Ressourcen deutliche Muster: häufiger Patch-Rückstände, mehr Legacy-Bestände, mehr Inventar-Drift. Die Korrelation zwischen Wachstum externer Dienste und Schwachstellen ist stark: Wer externe und Cloud-gehostete Subdomains stark ausbaut, sieht in der Regel auch eine starke Zunahme der Schwachstellen. Der reine Zuwachs an Subdomains korreliert deutlich schwächer – entscheidend ist, wo diese landen und wie sie verwaltet werden. 

E-Mail-Sicherheit verbessert sich langsam

Bei der E-Mail-Sicherheit zeigt sich systematische Verbesserung. Domains ohne SPF-Policy (Sender Policy Framework, verhindert E-Mail-Fälschung) sinken von 167.154 (2023) auf 95.900 (2025), Domains ohne DMARC (Domain-based Message Authentication, zusätzlicher E-Mail-Schutz) von 159.050 auf 71.836. Aber praktisch alle Universitäten haben 2025 weiterhin viele Domains ohne diese grundlegenden Schutzmechanismen. Das Problem ist abgeschwächt, aber nicht gelöst. 

Wachsendes Risiko 

Die Daten sind da. Die Handlungsoptionen sind klar. Ohne strukturelle Reformen wird aus wachsender Infrastruktur und wachsender Abhängigkeit ein wachsendes Risiko. Mit gezielten Maßnahmen – gemeinsam genutzten Landesdiensten, automatisierten Cyberhygieneprozessen und verbindlichen Standards für Auslagerung – kann Deutschland eine resiliente, zukunftsfähige IT-Landschaft für seine Hochschulen aufbauen. Jetzt ist die Zeit für evidenzbasierte Entscheidungen. 

Zum Seitenanfang
Schlagwörter: IT-Sicherheit Digitalisierung

Das könnte Sie auch interessieren