Arbeitskreis IT-Schutz
Wie Corona die Sicherheitslage an den Unis verändert
Forschung & Lehre: Mit der Corona-Pandemie mussten die Hochschulen auf einen Schlag deutlich digitaler werden, was den Druck auf den IT-Schutz und die Angriffsflächen für Kriminelle erhöht hat. Wie beurteilen Sie die aktuelle Sicherheits-Lage?
Ulrich Pordesch: Wir haben den Eindruck, dass sich die Zahl der erfolgreichen Angriffe mit Schäden in Folge von Corona nicht nennenswert erhöht hat. Aktuelle Zahlen quer über die Universitäts- und Forschungslandschaft liegen dem Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen (AKIF) allerdings nicht vor. Um den Betrieb in der Lehre, Forschung und in Verwaltung aufrecht zu erhalten, waren die Universitäten gezwungen, innerhalb kürzester Zeit Digitalisierungsprojekte umzusetzen, die sonst Jahre gedauert hätten. Dafür standen ausreichend finanzielle Mittel zur Verfügung. In der digitalen Lehre wurde verstärkt auf Cloud-Werkzeuge gesetzt und VPN-Zugänge für Beschäftigte vielerorts massiv ausgebaut. In kürzester Zeit mussten zusätzliche Konferenzsysteme ausgewählt und beschafft und Auftragsverarbeitungsvereinbarungen verhandelt werden. Nicht immer konnten in der Notlage sofort die besten Lösungen mit den besten Sicherheitsmechanismen eingesetzt werden. Störungen, zum Beispiel bei Videokonferenzen, konnten aber in der Regel von Herstellern oder Hochschulen behoben werden.
F&L: Wie hat Corona die Risiken im IT-Schutz an den Hochschulen verändert?
Ulrich Pordesch: Im Homeoffice sind einige Sicherheits- und Datenschutzrisiken höher als an der Hochschule. PCs sind zum Teil nicht durch die internen Sicherheitssysteme geschützt, der Schutz hängt dann stärker vom jeweiligen Endgerät ab. Darüber hinaus setzen Studierende oder Beschäftigte zusätzliches IT-Equipment ein, wie etwa Drucker. Das birgt das Risiko, dass dienstliche Informationen in irgendeine Public Cloud verschoben werden. Auch ist nicht auszuschließen, dass vertrauliche Daten und Ausdrucke von Familienmitgliedern oder Gästen gesehen werden.
Eine Herausforderung für die Forschungseinrichtungen und besonders die Lehre sind nach wie vor die Kommunikationsmedien. Hier werden vielfach Dienste genutzt, bei denen die Zulässigkeit der mit der Nutzung verbundenen Übermittlungen personenbezogener Daten fraglich ist. Indes haben die Unternehmen, Verwaltungen und die Universitäten und Forschungseinrichtungen keine andere Möglichkeit, als diese etwas erhöhten Risiken zu akzeptieren. Ebenso müssen Mitarbeitende eine stärkere Verantwortung für Informationssicherheit und Datenschutz übernehmen. Dazu sind sie für die Risiken und die nötigen Schutzmaßnahmen im Homeoffice sensibilisiert worden.
F&L: Die IT ist an den Hochschulen sehr knapp aufgestellt. Hat sich das während der Corona-Pandemie verändert?
Ulrich Pordesch: Der erhöhte Bedarf war besonders in den ersten Monaten spürbar, um die Flut der Anforderungen an mobilen Geräten, Equipment für den Homeoffice-Betrieb und Bereitstellung von Konferenzdiensten zu bearbeiten. Da durch den eingeschränkten Hochschulbetrieb andere Aufgaben der IT wegfielen, hatten sie für coronaspezifische Anliegen aber auch mehr Zeit. Ob Personal aufgestockt wurde, ist uns aktuell nicht allgemein bekannt. Zu hören ist, dass Personal dort aufgestockt wurde, wo es zur Aufrechterhaltung des Betriebs unbedingt notwendig war.
Die Fragen hat Dr. Ulrich Pordesch stellvertretend für den Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen (AKIF) mit Udo Kebschull, Professor der Goethe-Universität Frankfurt und Christian Fötinger von der Stabsstelle für Informationssicherheit der bayerischen Hochschulen und Universitäten beantwortet.