Cybersicherheit an Hochschulen
IT-Schutz ist kein Projekt, sondern ein Prozess
- Bernhard Brandel: Inhaber der Stabsstelle IT-Sicherheit an der Katholischen Universität Eichstätt-Ingolstadt
- Sebastian Porombka: Mitarbeiter der Stabsstelle IT-Sicherheit an der Universität Paderborn
- Professorin Gudrun Oevel: Leiterin des Zentrums für Informations- und Medientechnologien (IMT) und CIO an der Universität Paderborn
Aktuell beobachten Wissenschaftseinrichtungen täglich unzählige Cyberangriffe. Die Bandbreite der Attacken erstreckt sich von vergleichsweise ungerichteten Verbindungsversuchen über Identitätsdiebstahl und der gezielten Suche nach Schwachstellen bis hin zum sogenannten Dynamit-Phishing bei einzelnen Mitarbeiterinnen und Mitarbeitern. Im letzteren Szenario werden E-Mail-Postfächer gestohlen und für personalisierte Nachrichten verwendet, die den Kommunikationspartner zum Aufrufen einer infizierten Internetseite oder Datei motiviert.
Während es beim automatisierten Suchen nach Schwachstellen (hier vergleichen Angreifer einen Katalog von Sicherheitslücken gegen einen gefundenen Dienst) die Chance gibt, dass Angriffserkennungssysteme (englisch Intrusion Detection Systems) diese Muster erkennen und einen Einbruch erschweren, ist bei Angriffen, bei denen der Faktor Mensch das Angriffsziel darstellt (wie Dynamit-Phishing), eine hundertprozentige Abwehr nicht möglich.
"Bei Angriffen, bei denen der Faktor Mensch das Angriffsziel darstellt, ist eine hundertprozentige Abwehr nicht möglich."
Angreifer haben es auf den Diebstahl von personenbezogenen und Forschungs-Daten, die Erpressung von Lösegeld oder "nur" auf Rechenzeit und Bandbreiten, um damit zum Beispiel Kryptowährungen zu schürfen, abgesehen. Dazu werden Zugangsdaten gestohlen oder Sicherheitslücken auf anderen Systemen ausgenutzt, Backups zerstört und/oder Daten verschlüsselt. Die Infiltration findet üblicherweise umsichtig statt, um nicht auf dem Radar des Betreibers der Infrastruktur zu erscheinen. Soll Lösegeld erpresst werden, enden diese Angriffe meistens mit der Verschlüsselung oder dem Diebstahl von vermeintlich unwiederbringlichen Daten. Die Tragödie beginnt mit einer per E-Mail eingegangenen Rechnung, die kurzfristig geprüft werden soll. Oder mit einer Bestätigung von Buchungsinformationen auf einer referenzierten Webseite, die wie ein Hotelportal aussieht. Angreifer suggerieren durch eine (oft sehr gut gemachte) gefälschte Nachricht einen offiziellen Auftrag mit dringendem Handlungsbedarf. Ein Dokument muss unbedingt geöffnet, ein Link muss betätigt oder die Identitätsdaten müssen eingegeben werden. So findet Schadsoftware den Weg auf einen Computer. Ist dies passiert, wird dieser zum Einfallstor des Angreifers in das interne Netz, der sich dort umgehend einnistet und nach weiteren Zugriffsmöglichkeiten sucht.
Obwohl solche Szenarien bekannt sind, zeigte sich in der jüngsten Vergangenheit wieder, dass technische und organisatorische Schutzmaßnahmen kontinuierlich und proaktiv gelebt werden müssen, um Schäden bei Informationssicherheitsvorfällen im handhabbaren Maß zu halten. Diese permanenten proaktiven Maßnahmen kosten Ressourcen, die nicht direkt der Forschung und Lehre zur Verfügung stehen, Flexibilität und Freiheiten einschränken können und somit häufig nicht mit Enthusiasmus begrüßt werden. Die nachfolgend geschilderten Beispiele zeigen die konkrete Gefährdung auf.
Erfolgreiche Cyberangriffe an Hochschulen
Mehr als 30 Hochleistungsrechenzentren, davon auch etliche in Deutschland, wurden Ende 2019 bis Anfang 2020 Opfer eines systematischen Einbruchs. Der Angreifer blieb über Monate unentdeckt und wurde erst durch die gemeinschaftliche Arbeit der Zentren für Hochleistungsrechnen enttarnt. Der genaue Ablauf und die Motivation sind bis zur Veröffentlichung dieses Artikels nicht endgültig geklärt. Einfallstore waren gestohlene Zugangsdaten, die auch bei anderen Forschungseinrichtungen entwendet wurden. Die Eigenschaft, dass in Hochleistungsrechnern ein Spagat zwischen maximaler Rechenleistung, neuen Technologien und Informationssicherheit geleistet werden muss, spielte den Angreifern in die Hände.
Ein klassischer Fall von gezieltem Phishing ereignete sich im Oktober 2019 an der Uni Maastricht. Dort hatte ein Universitätsmitarbeiter beziehungsweise eine -mitarbeiterin einen Link auf ein präpariertes Tabellendokument erhalten. Erst mehrere Wochen später kristallisierten sich bekannte Schwachstellen auf anderen Servern heraus, die der Angreifer nutzte, um sich im Netz weiter zu verbreiten. Am 23. Dezember 2019 implementierte der Angreifer eine Ransomware und verschlüsselte wichtige Daten der Hochschule. Ein Lösegeld von 30 Bitcoins, damals umgerechnet 200.000 Euro, wurde bezahlt. In der Aufarbeitung des Vorfalls wurden 267 infizierte Systeme gefunden.
Die Infrastruktur der Ruhr-Universität Bochum wurde am 6. und 7. Mai 2020 angegriffen. Die Forensik zeigte auf, dass der Einstieg über ein System erfolgte, das über ein Netzwerkprotokoll für den Fernzugriff auf Windows-Computer namens RDP aus dem Internet offen erreichbar war. Hierüber gelang es dem Angreifer, sich weitere Berechtigungen zu verschaffen und die Top-Level-Domäne zu kompromittieren. Danach wurde vom Angreifer eine Verschlüsselungssoftware eingesetzt, die vor allem die Universitätsverwaltung traf. Die Wiederherstellung der IT-Systeme dauerte bis zum 29. Juni an.
Für den Schutz der Hochschulen ist es wichtig, ihre potenzielle Angriffsfläche so weit wie möglich zu verkleinern. Komplexität, Anzahl und Ausmaß der Schadensereignisse haben insgesamt immer mehr zugenommen. Zum Glück ähneln sich viele Geschäftsfelder und Strukturen an den verschiedenen Hochschulen und damit ähneln sich auch die zu bewältigenden Herausforderungen: Alle Hochschulen forschen, alle unterrichten und prüfen Studierende, alle betreiben eine ausgeklügelte Netzinfrastruktur und verarbeiten Verwaltungsprozesse.
Was tun die Hochschulen für den IT-Schutz?
Viele Hochschulen haben erkannt, dass sie gefährdet sind, und sich zusammengetan – nach dem Motto: Gemeinsam sind wir stärker. Eine aktive Organisation ist der Verein der "Zentren für Kommunikationsverarbeitung in Forschung und Lehre" (ZKI e.V.) als Zusammenschluss aller Rechenzentren an Hochschulen in Deutschland. Sein 2018 neu ausgerichteter Arbeitskreis Informationssicherheit hat die Initiative ergriffen und sich auf die Suche nach einem strukturierten und systematischen Ansatz gemacht, der von den typischen Geschäftsprozessen einer Hochschule ausgeht, diese aus Sicht der Informationssicherheit analysiert und entsprechend durchdekliniert. Als Methode wurde dabei der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgewählt. Sie ist kompatibel mit dem Vorgehen nach ISO27001 und führt bei Bedarf ebenfalls zu einer ISO-Zertifizierung.
"Viele Hochschulen haben erkannt, dass sie gefährdet sind, und sich zusammengetan."
Damit nicht jede Hochschule das Rad neu erfinden muss, haben ca. 60 Kolleginnen und Kollegen aus deutschen Hochschulen gemeinsam im Arbeitskreis in mehreren Workshops mit Unterstützung des BSI im Rahmen der Allianz für Cybersicherheit das "IT-Grundschutz-Profil für Hochschulen" entwickelt, in dem die gängigsten Hochschulprozesse prototypisch modelliert sind. Ein guter Einblick in die Entwicklung und den Stand des IT-Grundschutz-Profils für Hochschulen ist auf den Webseiten des ZKI zu finden. Mit Hilfe der IT-Grundschutz-Methodik für Hochschulen kann man ein Standard-Sicherheitsniveau aufbauen, um geschäftsrelevante Informationen zu schützen. Das BSI-System deckt dabei nahezu alle Fragen der Informationssicherheit ab. Bei der Umsetzung an Hochschulen werden allerdings nur die Bausteine benötigt, deren Komponenten konkret im eigenen Hochschul-Umfeld eingesetzt werden.
IT-Sicherheit ist ein systematisches Handlungsfeld
Die gemeinsame Arbeit am IT-Grundschutz-Profil für Hochschulen war und ist sehr produktiv und hat die Zusammenarbeit zwischen den Hochschulen weiter gefördert. Die wertvollsten Punkte des Profils sind
- die Kommentierungen, das Wording und die Tipps zu den einzelnen Bausteinen, in die das gesammelte Know-how der Hochschulen mit eingeflossen ist sowie
- die Prozesslandkarten, aus denen die Modellierung der Prozesse hervorgeht.
Es zeigt sich aber auch, dass Informationssicherheit an Hochschulen kein Projekt, sondern ein Prozess ist. Daher sind auf der einen Seite natürlich laufende Updates und Ergänzungen des IT-Grundschutz-Profils notwendig und geplant, zum Beispiel weitere Prozesse aus Forschung und Verwaltung. Ebenso sind erste Umsetzungen des Profils in Software-Tools in Arbeit. Auf der anderen Seite ist es auch notwendig, die beschriebenen Maßnahmen in die Fläche – und das bedeutet an jede Hochschule und in jede Forschungsreinrichtung – zu bringen und dort dauerhaft umzusetzen. Es braucht dazu den unbedingten Willen aller Beteiligten, die Gefährdungen ernst zu nehmen und Ressourcen bereitzustellen, damit in Zukunft Informationssicherheit ebenso wie Arbeitssicherheit und Datenschutz ein systematisches Handlungsfeld im Bereich Forschung und Lehre wird. Absolute Sicherheit wird – analog zu den anderen Themenfeldern – auch hier niemals ganz erreicht. Jedoch hilft jede Maßnahme, diesem Ideal ein wenig näher zu kommen.
