How to: Cybersecurity

In der Bildungslandschaft liegt die Verantwortung für das Thema Cybersecurity bei den Hochschulen. Sie sind gefordert, das Bewusstsein für den Handlungsspielraum von Mitarbeitenden und Studierenden zu schaffen. Jede*r Einzelne kann dazu beitragen, die eigene Hochschule vor Cyberattacken zu schützen, indem er*sie konkrete Maßnahmen ergreift, von denen bereits viele allgemein bekannt sind.

Um diese Sensibilisierung voranzutreiben, bieten Hochschulen nicht nur Tipps auf ihren Websites und in den sozialen Medien an, sondern auch Workshops, Weiterbildungen und Vorträge zum Thema Cybersecurity. Dies ermöglicht es, das Wissen und die Fähigkeiten der Hochschulangehörigen kontinuierlich zu erweitern.

Im Folgenden präsentieren wir eine Auswahl von beispielhaften Situationen, die die Konsequenzen einer vernachlässigten Auseinandersetzung mit dem Thema verdeutlichen. Wir stellen die entsprechenden Maßnahmen und Tipps vor, die an diesen Stellen greifen können, um die Hochschulen zu sichereren Orten zu entwickeln. Dies soll nicht nur die Sicherheit unserer digitalen Infrastrukturen gewährleisten, sondern auch das Vertrauen in die Hochschule stärken.

Anmerkung: Die hier beschriebenen Beispiele orientieren sich an realen Cybercrime-Attacken an Hochschulen aus dem DACH-Raum und stellen keine 1:1-Beschreibung der Vorfälle dar.

Ein starkes Passwort = die halbe Miete

Vor Kurzem entdeckten die IT-Sicherheitsexpert*innen einer Hochschule einen ungewöhnlichen Vorfall. Ein Dozent, der für seine Hochschul-Accounts ein leicht zu erratendes Passwort verwendet hatte, geriet ins Visier eines Angreifers. Dieser Angreifer, auf der Suche nach sensiblen Forschungsdaten, nutzte die Schwachstelle des schwachen Passworts aus und erlangte unberechtigten Zugriff auf das Hochschulnetzwerk. Die Folgen dieses Vorfalls waren weitreichend. Der Angreifer konnte nicht nur auf vertrauliche Forschungsinformationen zugreifen, sondern auch das gesamte Netzwerk gefährden. Diese Bedrohung hätte vermieden werden können, wenn der Dozent ein starkes Passwort verwendet hätte. Doch die Probleme beschränkten sich nicht nur auf das Passwort. Weitere Mitarbeiter*innen und Studierende an der Hochschule hatten ihre Geräte nicht regelmäßig aktualisiert und waren anfällig für Phishing-E-Mails. Dadurch wurde das Risiko eines umfassenden Sicherheitsvorfalls erheblich erhöht.

Passwörter und Geräteaktualisierungen sind leidige Themen, sollten jedoch niemals vernachlässigt werden und liegen in den Händen der Mitarbeitenden und Studierenden. Die Verantwortung der Hochschulen ist es, Bewusstsein für den Handlungsspielraum von Mitarbeitenden und Studierenden zu schaffen. Die oben erwähnten Tipps auf der Universitätswebsite, aber auch regelmäßige Erinnerungen beim Log-In ins Campus Management System könnten dies gewährleisten.

Natürlich ist es damit nicht getan. Viele weitere, teils nicht ganz so offensichtliche Faktoren, spielen in Sachen Cybersecurity eine wichtige Rolle. Die Ebenen der Mitarbeitenden und der IT spielen dabei ebenso eine Rolle wie organisatorische Faktoren.

Ethische Hacker*innen testen in den Weihnachtsferien die IT-Sicherheit einer Universität und entdecken mehrere Backdoors* in einem dezentralen System. (*Malware, die beschränkte Zugriffsrechte umgeht und nach einer Website-Infizierung unbefugten Fernzugriff ermöglicht). Die Sicherheitslücke zu melden gestaltet sich schwierig. Die Namen konkreter Ansprechpartner*innen für IT-Sicherheit sind auf der Uni-Website schwer ausfindig zu machen und scheinen nicht erreichbar zu sein. Erst nach einem Tag erreichen die Hacker*innen jemanden telefonisch, der die Entdeckung über Umwege an die Zuständigen weiterleitet und die Lücke wird geschlossen.

Neben Freitagabenden und den Wochenenden sind Hochschulen in der vorlesungsfreien Zeit zwischen Weihnachten und Anfang Jänner besonders vulnerabel, was die IT-Sicherheit betrifft. Gerade dann ist Transparenz notwendig, um Lücken und mögliche Angriffe schnell melden zu können, etwa durch das klare Anführen von Zuständigkeiten und Kontaktdaten auf der Universitätswebsite.

Aufgrund urlaubsbedingter oder wochenendbedingter Abwesenheit und möglicher personeller Engpässe (siehe unten) ist es natürlich so gut wie unmöglich, stets eine Ansprechperson verfügbar zu haben. Umso besser ist es, wenn Sicherheitslücken im Voraus verhindert werden könnten, wie das nächste Beispiel zeigt:

Unbekannte Täter*innen starten einen Hackerangriff über die Website eines vergangenen Forschungsprojekts. Sie entdecken dort ein vergessenes Installationstool und können sich über dieses einen Admin-Account erstellen. Dies ermöglicht ihnen Schadcode ins System einzuschleusen, der erst Jahre später zufällig entdeckt wird.

An Hochschulen existieren meist mehrere dezentrale Server und Webseiten, etwa von Forschungsprojekten oder Initiativen. Solche digitalen Leichen stellen, wie im Beispiel sichtbar, aus technischen Gründen ein Sicherheitsrisiko dar. Solchen Vorfällen beugt man am besten sowohl mit organisatorischen als auch mit technischen Maßnahmen vor. Am Institut und in jedem Projekt wird festgehalten, wer für welchen Server und welches Projekt verantwortlich ist. Verlässt diese Person die Hochschule oder wechselt den Fachbereich, wird die Verantwortung übertragen oder der Server abgeschaltet. Weiters ist es sinnvoll, die IP-Adressbereiche der Hochschule regelmäßig zu scannen. So verbleiben keine digitalen „Leichen“ im Keller, die zur Eintrittstüre für Angreifer*innen werden und monate- oder jahrelange unbemerkt bleiben.

Klarerweise werden sich Cyberangriffe niemals zur Gänze verhindern lassen. Wenn es zu einem Angriff kommt, braucht es ein Zusammenspiel aus effizienter Sicherheitstechnologie, raschem Eingreifen und weiterführender Maßnahmen nach dem Angriff, um Schaden zu verhindern oder zumindest einzugrenzen. Auch hierzu ein Beispiel:

Eine Hochschule wird an einem Freitagabend Opfer eines Hackerangriffs. Die Angreifer*innen verschaffen sich über einen Mitarbeiter*innenaccount Zugriff. Die Attacke wird jedoch bei einem Routinecheck rasch entdeckt, das Intrusion Detection System (IDS) der Hochschule schlägt Alarm. Datenraub kann verhindert werden. Es folgt eine Umstellung auf Multi-Faktoren-Authentifizierung für alle Mitarbeitenden und Studierenden. Aus Sicherheitsgründen kann über längere Zeit über VPN auf das Campus-Management-System zugegriffen werden, alle Bediensteten, Mitarbeitenden und externen Angehörigen müssen ihre Passwörter ändern. Wer die Frist versäumt, hat keinen Zugriff mehr auf seinen Account und muss an der Hochschule vorstellig werden, um den Account wieder aktivieren zu lassen.

Ein sogenanntes Intrusion Detection System (IDS) beugt Angriffen zwar nicht vor und kann diese nicht abwehren. Sie überwacht jedoch den Datenverkehr und meldet Resultate der Systemadministration. Es ist also als Ergänzung zu Firewalls und anderen Sicherheitstechnologien zu sehen.

Was im Falle dieser Hochschule ebenfalls funktionierte: Die Sicherheitsmaßnahmen nach der Attacke erfolgten rasch und werden sehr streng durchgesetzt. Wichtig ist dabei jedoch, Bewusstseinsschaffung und Hilfestellung bei der Einführung neuer Sicherheitsmaßnahmen nicht zu kurz kommen zu lassen. Wird die Notwendigkeit von Sicherheitsmaßnahmen nicht richtig an Studierende, Lehrende und andere Mitarbeitende kommuniziert oder keine entsprechende Hilfestellung gegeben, kann dies schnell nach hinten losgehen. Dozent*innen und Mitarbeitende könnten beispielsweise ihre E-Mails an private Accounts weiterleiten, wenn keine Hilfestellung bei der Implementierung eines VPN-Tunnels gegeben wird. Eine Absicherung gesendeter hochschulrelevanter Daten wird dadurch unmöglich.