Die Hochschulen in Deutschland arbeiten zunehmend IT-gestützt. Damit steigt die Abhängigkeit von sicher und zuverlässig funktionierender Informationstechnik. Neben physischen Gefahren wie zum Beispiel Stromausfällen stellen auch Hackerangriffe eine Bedrohung für den stabilen IT-Betrieb und die IT-Infrastruktur dar. Die IT-Sicherheit ist dadurch gefährdet.
Inhalt
Hochschulen sind ein attraktives Ziel für Hacker. Seit Dezember 2019 waren mindestens drei deutsche Universitäten und ein Universitätsklinikum das Ziel erfolgreicher Hackerangriffe. Um weiteren Schaden zu verhindern, mussten die Hochschulen ihre Computersysteme teilweise über mehrere Monate abschalten. Die Kosten zur Behebung der Schäden waren zum Teil beträchtlich.
2,9 % mehr Beschäftigte an Hochschulen im Jahr 2021
Wie schlecht es mancherorts um die IT-Sicherheit im Hochschulbereich steht, bestätigt eine Untersuchung aus einem ostdeutschen Bundesland. Dort weist das Wissenschaftsministerium den acht staatlichen Hochschulen ihre Haushaltsmittel global zu. Die Hochschulen bewirtschaften die Gelder im Rahmen ihrer Hochschulautonomie weitgehend eigenständig, so auch für den IT-Betrieb und die Informationssicherheit. Im Rahmen der erwähnten Untersuchung gaben die Hochschulen an, für IT-Sicherheit in den vergangenen Jahren jährlich zusammen rund 1,2 Millionen Euro verausgabt zu haben. Die jährlichen Ausgaben je Hochschule lagen zwischen 25.000 und 687.000 Euro. In dem veröffentlichten Teil des Untersuchungsberichts werden nur einige Schwachstellen angesprochen, andere hingegen bewusst nicht erwähnt, um keine Angriffe zu provozieren.
IT-Sicherheitsmängel an Arbeitsplatzrechnern
Alle Hochschulen hatten Passwortvorgaben getroffen und technisch umgesetzt. Nach den Mindestvorgaben konnten die Nutzer jedoch teilweise nicht ausreichend komplexe Kennwörter wählen. Nur bei drei Hochschulverwaltungen war vorgegeben, dass die Beschäftigten Bildschirmsperren beim Verlassen des Büros zu aktivieren haben. An fünf der acht Hochschulen können die Mitarbeiter im wissenschaftlichen Bereich an den Computern ungehindert selbst Software installieren. Dies hat zur Folge, dass die installierte Software weder von der IT-Einheit überprüft noch erfasst wurde. Alle Hochschulen schränken den Empfang von E-Mail-Anhängen ein. Zum Teil können die Nutzer nach einem Warnhinweis die E-Mails mit potenziell gefährlichen Anhängen jedoch eigenständig öffnen.
Gefahrenquelle Hochschulnetz
Einige der untersuchten Hochschulen haben die zentralen Router und Switches nicht redundant ausgelegt. Fallen diese Systemkomponenten aus, wird die Funktionalität und Verfügbarkeit des IT-Gesamtsystems oder anderer Komponenten beeinträchtigt, möglicherweise bis hin zum Ausfall. Hackerangriffe erfolgen sehr oft als sogenannte DDoS-Angriffe. Hierbei wird die Nichtverfügbarkeit von Internetdiensten durch die Überlastung der Internetanbindung infolge einer hohen Anzahl an Serveranfragen von vielen Quellen, sogenannten Bots, herbeigeführt. Nur fünf der acht Hochschulen konnte eine DDoS-Schutzlösung vorweisen.
Unsicherheit der Serverräume
An mehreren Hochschulen wurden Serverräume vorgefunden, die bauseitig nicht für den Rechenzentrumsbetrieb ausgelegt waren. Einige Hochschulen nutzten ihre Serverräume gleichzeitig als Lagerräume. Die Einlagerungen von u. a. Pappkartons und Kopiergeräten stellten potenzielle Brandgefahren dar. Die Serverräume mehrerer Hochschulen waren nicht mit Rauchmeldern, Brandschutztüren oder einer Feuerlöschanlage ausgestattet. Zwar verfügten alle Hochschulen über eine batteriebetriebene unterbrechungsfreie Stromversorgung. Diese war jedoch nicht an allen Hochschulen so ausgelegt, um ein sicheres Herunterfahren der IT-Systeme durch die Mitarbeiter zu ermöglichen.
Notfallkonzepte und Notfallhandbücher
Ein Notfallkonzept hat zum Ziel, Notfälle effektiv zu bewältigen und kritische Geschäftsprozesse schnell wiederaufzunehmen. Doch nur wenige Hochschulen dokumentierten in einem Notfallkonzept ihre IT-Systeme und einen Plan zum Umgang mit einem Ernstfall. Praxistaugliche Notfallhandbücher mit Handlungsanweisungen für kritische Schadereignisse, Wiederanlaufplänen und Informationen zu Kapazitäts- und Verfügbarkeitsanforderungen an einzelne IT-Systeme und IT-Anwendungen fehlten in fünf Hochschulen.
Das Wissenschaftsministerium sieht Handlungsbedarf
IT-Sicherheit an Hochschulen ist angesichts ihrer hohen Vulnerabilität und der daraus resultierenden hohen monetären und nichtmonetären Schadensrisiken kein nachrangiger Aspekt der universitären Aufgaben. Die Hochschulleitungen sollten die Gewährleistung von IT-Sicherheit vielmehr als Kernaufgabe verstehen. Die erfolgten Angriffe auf Wissenschaftseinrichtungen zeigen das bestehende Gefahrenpotential auf. Durch die zunehmende Digitalisierung steigt die Abhängigkeit von einer sicheren IT noch weiter. Das Wissenschaftsministerium des in Rede stehenden Bundeslandes hat den bestehenden Handlungsbedarf bei der IT-Sicherheit der Hochschulen anerkannt und will entsprechende Maßnahmen einleiten. Hoffentlich werden die Maßnahmen auch alsbald umgesetzt, liebe Leserinnen und Leser, sagt skeptisch
Ihr
GotthilfSteuerzahler
www.krisensicherinvestieren.com
Dieser Text stammt aus dem kostenlosen Newsletter Claus Vogt Marktkommentar.
