Eine Frau in weißem Kittel hantiert mit einem Laptop in einem großen Serverraum.
mauritius images / Sergio Azenha / Alamy

IT-Sicherheit
HRK sieht Handlungsdruck bei Cybersicherheit

Die HRK-Mitgliederversammlung hat sich mit der Cyber-Bedrohung von Hochschulen befasst. Ein Empfehlungspapier drängt auf rasche Vorkehrungen.

16.05.2025

"Die allgemeine Bedrohungslage für die Hochschulen wird von den Sicherheitsbehörden im Bereich der Cybersicherheit als extrem hoch bewertet", leitet die Hochschulrektorenkonferenz (HRK) ihre aktuellen Empfehlungen zu digitalen Sicherheitsmaßnahmen ein. Es gehe um Ransomware-Angriffe, Spionage und die Ausspähung von dissidentischen Netzwerken sowie sozialen Bewegungen. Bei diesen Bedrohungsszenarien käme auch zunehmend Künstliche Intelligenz (KI) zum Einsatz. 

Hochschulen seien wegen ihrer Daten aus Forschung, Lehre, Transfer, Technik und Verwaltung für Cyberangriffe zur Ausspähung und Sabotage von gesteigertem Interesse. Deshalb brauche es ein breites Bündnis Cybersicherheit für Hochschulen, mahnt HRK-Präsident Professor Walter Rosenthal anlässlich der Veröffentlichung der Empfehlungen am 13. Mai. "Große Verantwortung kommt den Hochschulen zudem bei der dauerhaften Weiterentwicklung und Vermittlung von Cybersicherheitspraktiken zu", betont Professorin Ulrike Tippe, HRK-Vizepräsidentin für Digitalisierung und wissenschaftliche Weiterbildung. 

Der Begriff der Cybersicherheit habe gegenüber dem Konzept der Informationssicherheit an Relevanz gewonnen: Er stelle das Risiko eines Angriffs über Kommunikationsnetze und vernetzte Systeme sowie die gebotene Schadensminimierung in den Vordergrund. Ganz grundsätzlich befinden sich die Hochschulen dem Empfehlungspapier zufolge in einem Spannungsverhältnis zwischen den Erfordernissen: Resilienz bezüglich Cyberangriffen, Offenheit als konstitutives Charakteristikum der Institutionen und digitaler Souveränität in Bezug auf selbstbestimmte Technologienauswahl sowie auf die Vermeidung von irreversiblen technologischen Abhängigkeiten. 

Was die Hochschulen laut HRK für ihre Cybersicherheit tun sollten 

Die HRK empfiehlt den Hochschulen Konzepte abgestufter Sicherheit, um den IT-Hochschulbetrieb und die Sicherung besonders schützenswerter Daten aufrechtzuerhalten. Es sei dabei zu prüfen, ob die Hochschulen jeweils das Ziel der eingebundenen Geschlossenheit oder der dezentralen Autarkie anstrebten. Sicherheitskonzepte müssten Elemente der Prävention, Notfallpläne und Übungen umfassen. Auch müsse man die Angriffsfläche an sich verringern, indem beispielsweise nicht alle Daten öffentlich über das Internet zur Verfügung gestellt würden. 

Die HRK betont zudem die Bedeutung von Kooperationen bei Sicherheitskonzepten: "Kooperationen können sich erstrecken auf Landes- und Verbundkonzepte, Kommunikationskonzepte für Störfälle, Schulungs- und Awareness-Maßnahmen, Erfahrungsaustausch und Einkaufskooperationen, Security Operation Center (SOC), Peer-Audit, Peer-Penetration-Tests und Personal für Computer-Emergency-Response-Teams", heißt es im Empfehlungspapier. 

Zudem sollten Beratungen, beispielsweise von gemeinnützigen Organisationen wie dem HIS-Institut für Hochschulentwicklung, dem Verein zur Förderung eines Deutschen Forschungsnetzes (DFN) oder der Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung (ZKI), in Anspruch genommen werden. Hochschulen müssten auch Sensibilität und Kompetenzaufbau in Bezug auf Cybersicherheit vermitteln sowie eine Fehlerkultur in Bezug auf die Weiterentwicklung der Sicherheitskonzepte praktizieren. 

Empfehlungen an Bund und Länder 

Ein Bündnis Cybersicherheit für Hochschulen müsse die Anstrengungen der Hochschulen, der Länder und des Bundes zur effektiven Gefahrenabwehr zusammenführen, unterstützen und konsolidieren, meldet die HRK. Hierfür würden auf allen drei Ebenen jährlich insgesamt 400 Millionen Euro benötigt. Die Investitionen seien als grundgesetzlich geregelte Bereichsausnahme der Schuldenbremse für verteidigungs- und sicherheitspolitische Ausgaben zu einzuordnen. Ein solches, die Bedarfe der Hochschulen in Bereich Cybersicherheit spezifisch berücksichtigendes, innovatives Kooperations- und Finanzierungsmodell solle unter Federführung des Bundesministeriums für Forschung, Technologie und Raumfahrt (BMFTR) rasch umgesetzt werden, fordert Rosenthal. 

"Der Bund trägt in seiner übergreifenden Rolle in der nationalen Gefahrenabwehr eine herausgehobene Verantwortung, auch bei der Cybersicherheit der Hochschulen aktiv zu werden", erläutert Tippe. "Dazu gehört es, Frühwarnsysteme zu verbessern, Reaktionsmöglichkeiten aufzuzeigen, länderübergreifende Kommunikation zu fördern sowie einschlägige Forschung zu intensivieren." 

Von den Ländern fordern die HRK-Mitgliedshochschulen vor allem den Ausbau hochschulübergreifender Strukturen, zum Beispiel für eine umfassende Datensicherung. Darüber hinaus seien landesspezifische Meldewege und Ansprechpersonen zu benennen sowie Weiterbildungsangebote auszuweiten. "Die HRK fordert die Länder auf, auch im Hinblick auf die Cybersicherheit eine angemessene Grundausstattung zur Verfügung zu stellen. Zur Erhöhung der Resilienz der IT-Infrastruktur werden Investitionsmittel benötigt, ebenso sind Sachmittel für weitere Hard- und Software erforderlich", konkretisiert das Papier die finanziellen Erfordernisse.

cva