Cyberangriffe auf deutsche Hochschulen: Ein Erfahrungsbericht 

31.01.2024 | Beim Blick auf die gemeldeten Cybervorfälle des vergangenen Jahres zeigt sich deutlich: Immer häufiger werden Hochschulen Opfer von Cyberattacken. So verging 2023 kaum ein Monat, ohne dass es Meldungen über gehackte Bildungseinrichtungen gab. 

Doch warum ist das so und vor allem: Wie schlimm wird es noch? 

Bildung im Visier 

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Lagebericht zur IT-Sicherheit in Deutschland 2023 feststellt, gehen Angreifer zunehmend den Weg des geringsten Widerstands und wählen ihre Opfer nach einem "rationalen Kosten-Nutzen-Kalkül" aus. Da Hochschulen und Forschungseinrichtungen meist weniger streng gesichert sind als Unternehmen, rücken sie zunehmend ins Visier der Angreifer. 

Und der Druck ist hoch: Bildungseinrichtungen sind auf ihre digitalisierten Lehrinhalte und Forschungsergebnisse angewiesen, weshalb eine Verschlüsselung der Daten den Angreifern entsprechend lukrativ erscheint. Auch die Größe und die damit verbundene Menge sensibler Daten machen die Einrichtungen zu einem attraktiven Ziel für Hacker. Hinzu kommen globale Krisensituationen, in deren Zusammenhang das Interesse an aktuellen wissenschaftlichen Ergebnissen anderer bzw. gegnerischer Länder steigt. 

Philipp Schmitt gehört zum Team CYBER FOX®, den Experten für IT-Security bei der LEITWERK AG, und weiß aus Erfahrung, welchen Schaden Cyberangriffe verursachen können. Unter den betroffenen Kunden finden sich neben mittelständischen Wirtschaftsunternehmen, öffentlichen Verwaltungen und Gesundheitseinrichtungen seit geraumer Zeit auch immer häufiger Hochschulen. "Leider ist die Situation an vielen Hochschulen ideal für Angreifer: Die IT wird oftmals nebenher betrieben, quasi auf Heimanwenderniveau mit ein bisschen Virenschutz. Das ist jahrelang gutgegangen, als Hacker ihre Aktivitäten noch ausschließlich auf Wirtschaftsunternehmen beschränkten. Doch dieser 'Ehrenkodex' gehört inzwischen der Vergangenheit an und es wird gehackt, was nicht bei 3 auf den Bäumen ist.", berichtet der Security-Experte.

Sie wurden Opfer eines Cyberangriffs?

IT-Security an deutschen Hochschulen 

Als wissenschaftliche Einrichtungen stehen Hochschulen in Sachen Cybersecurity vor anderen Herausforderungen als Wirtschaftsunternehmen.

So muss die IT-Infrastruktur einer Vielzahl von Nutzern Zugang erlauben – Mitarbeitenden, Studierenden, Gastdozenten oder Forschungspartnern und oftmals auch einer breiten Fachöffentlichkeit. 

Eine weitere Herausforderung besteht in den speziellen Organisationsstrukturen von Bildungseinrichtungen. Die IT-Landschaft an einer durchschnittlichen Hochschule ist viel diverser aufgebaut als die in einem Unternehmen und bei weitem nicht so straff organisiert. Sie besteht aus vielen kleinen autonomen Einheiten, was mit Hinblick auf die Überwachung und Aktualisierung der IT eine organisatorische Herausforderung ist. Die Hochschul- oder Universitätsleitung kontrolliert in der Regel den zentralen Verwaltungsapparat sowie die zentralen IT-Dienste. Die Verantwortung für die IT-Sicherheit liegt jedoch oft bei den dezentralen Strukturen wie Fakultäten, Fachbereichen, Instituten und einzelnen Professuren und Forschungsgruppen. Diese verfügen jedoch selten über ausreichende Ressourcen und Fachkenntnisse, um ihre IT angemessen abzusichern.

Ladebalken mit Warnhinweis Hacked
Hinzu kommt, dass viele Mitarbeitende sowohl in zentralen als auch in dezentralen Bereichen tätig und diese Systeme deshalb miteinander verbunden sind. So kann ein erfolgreicher Angriff auf eine einzelne Forschungsgruppe dazu führen, die gesamte Verwaltung zu kompromittieren.

All dies sind Voraussetzungen, die es Cyberkriminellen leicht und den Security-Verantwortlichen zugleich besonders schwer machen. Hier bedarf es einer ganzheitlichen Security-Strategie, welche die Besonderheiten der wissenschaftlichen Einrichtungen berücksichtigt und durch das Zusammenspiel vieler Einzelmaßnahmen für ein größtmögliches Sicherheitslevel sorgt. 

Gerade nochmal Glück gehabt 

In manchen Fällen haben die Hochschulen Glück und der "Weckruf", der sie aus ihrem IT-Security-Schlaf wachrüttelt, geht glimpflich aus. So geschehen kurz vor Weihnachten, als sich eine Hochschule aus Baden-Württemberg an die Spezialisten von LEITWERK wandte. Innerhalb des Universitäts-Netzwerkes waren den Verantwortlichen Unregelmäßigkeiten aufgefallen, die sie sich nicht erklären konnten. Leider deckte der vorhandene Virenschutz nur circa 10 Prozent der Systeme ab, weshalb ungewiss war, ob – und falls ja, wie viel – Schaden angerichtet wurde. 

Nach einer Überprüfung des Netzwerkes konnte das Team CYBER FOX® Entwarnung geben. Wie sich herausstellte, hatten User – vermutlich aus Unwissenheit – Programme aus zwielichtigen Quellen auf die universitätseigenen Rechner heruntergeladen. 

Um solche Aktivitäten zukünftig zu verhindern, installierte LEITWERK einen Virenschutz, der das gesamte Netzwerk kontinuierlich überwacht und die gesammelten Informationen ans Security Operations Center (SOC) der LEITWERK AG übermittelt. So ist gewährleistet, dass Unregelmäßigkeiten und verdächtige Aktivitäten frühzeitig erkannt werden, um Schlimmeres zu verhindern. 

Zwar entpuppte sich der Vorfall als relativ harmlos, doch das, was die Security-Experten im Netzwerk der Hochschule vorfanden, grenzte beinahe schon an Leichtsinn. Die gesamte IT-Infrastruktur erwies sich als unorganisierter Flickenteppich, der über Jahrzehnte hinweg gewachsen war und über den niemand einen vollständigen Überblick hatte. "Das hatte ein bisschen was vom Wilden Westen", erinnert sich Philipp Schmitt. "Für dieses große Netzwerk gab es weder Richtlinien noch Nutzer- oder Internetbeschränkungen. Hätten es Angreifer darauf angelegt, hier Daten zu stehlen oder zu verschlüsseln, wäre ihnen das ohne großen Aufwand gelungen." Zum Glück ist in diesem Fall kein Schaden entstanden.
anomnymer Hacker

Anderen Hochschulen erging es da im vergangenen Jahr deutlich schlechter: Die Heinrich-Heine-Universität in Düsseldorf, die Hochschulen in Furtwangen, Karlsruhe und Hannover oder auch das Hochschulrechenzentrum für die Georg-August-Universität Göttingen sowie die Max-Planck-Gesellschaft – sie alle wurden in den vergangenen 12 Monaten Ziel von Hackerangriffen, in deren Folge sie gezwungen waren, ihren Betrieb einzuschränken, die Systeme herunterzufahren und Aufbauarbeit zu leisten. 


Ein Gutes haben all diese Vorfälle jedoch gemeinsam: Die betroffenen Einrichtungen gingen gestärkt aus der Krise hervor und sind heute in Sachen Cybersecurity deutlich besser aufgestellt als vor dem Angriff.

Herausforderungen an IT-Security an Hochschulen 

Cybersecurity stellt Hochschulen und andere wissenschaftliche Einrichtungen vor enorme Herausforderungen. Oftmals machen es zudem veraltete IT-Infrastrukturen, schwache Passwörter oder fehlende Schutzmechanismen den Angreifern besonders einfach, in die Systeme einzudringen.

In der Praxis haben die Cybersecurity-Experten der LEITWERK AG schon einiges gesehen, das ihnen buchstäblich die Haare zu Berge stehen ließ. So fanden Philipp Schmitts Kollegen vom Team CYBER FOX® im Netzwerk eines Hochschulrechenzentrums mehrere Firewalls und Router, auf die niemand Zugriff hatte. Auch konnte keiner der Verantwortlichen vor Ort sagen, was genau auf ihnen lief – das Wissen darüber war mit dem vorherigen IT-Leiter in den Ruhestand gegangen. 

Doch zum Abschalten der Hardware war die Furcht vor den möglichen Folgen zu groß. "Solche Altlasten können sich ganz schnell zu gefährlichen Zeitbomben entwickeln, da niemand weiß, was genau die Geräte im Netzwerk machen, was sie durchlassen und was nicht", warnt Schmitt.

Bildschirmanzeige Game Over
Obwohl die meisten Universitäten den Ernst der Lage längst erkannt haben, wird die Absicherung der Systeme durch die spezifischen Anforderungen an wissenschaftliche Einrichtungen, die dezentrale Organisation der einzelnen Bereiche sowie knappe Budgets und fehlendes Personal erschwert. Nur wenige Einrichtungen sind in der Lage, sich hauptamtliche CISOs (Chief Information Security Officer) zu leisten. Vielerorts ist die CISO-Funktion nach wie vor eine Zusatzaufgabe, die neben der eigentlichen Tätigkeit und oftmals auch von befristet eingestellten wissenschaftlichen Mitarbeitenden übernommen wird. 

IT-Security-Experte Philipp Schmitt ist sich sicher: "Solange IT-Security nicht als grundlegende Notwendigkeit für den Betrieb von Hochschulen und Universitäten anerkannt wird, werden die Angriffszahlen weiter steigen. Denn Fakt ist: Hat es jemand auf die Systeme abgesehen, kommt er da auch rein – die Frage ist, wie leicht man es ihm machen möchte."

Sichern Sie Ihre IT-Infrastruktur ab! Gerne unterstützen wir Sie.

Wie können sich Universitäten und Hochschulen schützen? 

No system ist safe – leider gibt es keinen hundertprozentigen Schutz vor Cyberangriffen. Wissenschaftliche Einrichtungen wie Hochschulen und Unis sind da keine Ausnahme, im Gegenteil! Ihre Größe, die heterogenen Strukturen sowie die Vielzahl an Zugängen für User mit den unterschiedlichsten Anwenderkenntnissen stellen enorme Herausforderungen an den Schutz der IT-Systeme. Doch es gibt effektive Möglichkeiten, das Schutzlevel so zu gestalten, dass es potenzielle Angreifer deutlich schwerer haben, in die Hochschul-Systeme einzudringen. 

Dabei ist zunächst umfassende Grundlagenarbeit gefragt, die bereits im Serverraum beginnt: Dieser muss abschließbar sein und sollte ausreichend vor unbefugten Zugriffen geschützt werden. Technische Maßnahmen wie regelmäßige Schwachstellenscans, eine Zwei- oder Mehr-Faktor-Authentifizierung sowie ein funktionierendes Patchmanagement gehören zum kleinen Einmaleins der Cybersecurity. 

Um der Schwachstelle Mensch angemessen zu begegnen, müssen die Verantwortlichen eine Awareness für die Gefahren durch Cybercrime schaffen. Dazu gehören Schulungen von Mitarbeitenden und Studierenden sowie eine zentrale Anlaufstelle für alle Fragen und Probleme rund um das Thema IT-Security. Falls das Budget für einen externen IT-Dienstleister nicht reicht, müssen die Hochschulen in die Ausbildung ihrer eigenen Mitarbeitenden investieren und das nötige Fachwissen intern aufbauen

Um die Systeme nach außen hin zu schützen, bedarf es der Implementierung eines einheitlichen IT-Sicherheitskonzepts für die gesamte Hochschule. Innerhalb des Netzwerks muss eine konsequente Segmentierung der einzelnen Bereiche erfolgen, um sie voneinander abzutrennen und im Angriffsfall leichter schützen zu können. Ein Rollenkonzept für die User sorgt dafür, dass die Zugriffsrechte sinnvoll eingeteilt werden und nur diejenigen über Adminrechte verfügen, die dafür vorgesehen sind. 

Es ist von entscheidender Bedeutung, dass Institutionen ihre interne IT-Struktur sorgfältig organisieren, segmentieren und eine klare Trennung zwischen verschiedenen Bereichen gewährleisten. Insbesondere sollten zentrale Verwaltungsfunktionen und andere betrieblich kritische Bereiche streng gesichert und von anderen Segmenten isoliert werden. Dies erschwert es potenziellen Cyberangreifern erheblich, in diese vitalen Bereiche einzudringen und sich auszubreiten. 

Sollte es trotz aller Schutzvorkehrungen zu einem Cyberangriff kommen, ist es wichtig zu wissen, was zu tun ist, weshalb ein erprobter Notfallplan in jedes Sicherheitskonzept gehört. Praktische Hilfestellung wie etwa eine Checkliste mit den wichtigsten Schritten finden Unternehmen und Organisationen außerdem auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Und selbstverständlich steht das Team CYBER FOX® betroffenen Unternehmen und Einrichtungen bei Bedarf jederzeit zur Seite.
Sie haben Fragen oder interessieren sich für unsere Security-Leistungen? Dann freuen wir uns über Ihre Nachricht!
Kontakt

Informationen zum Datenschutz finden Sie hier.