
Die Bedeutung der Cybersicherheit an wissenschaftlichen Einrichtungen steigt. Theorie und Praxis zeigen, dass die ausschließliche Fokussierung auf Perimetersicherheit kein Allheilmittel sein kann. Es braucht stattdessen vor allem innovative Prozesse und Organisationen, die die Nutzenden für den Stellenwert der Daten und für die zum Einsatz kommenden Maßnahmen der IT-Sicherheit sensibilisieren.
Moderation:
- Dr. Michael Kreutzer, COO des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE | Fraunhofer SIT
SprecherInnen und Sprecher:
Prof. Dr. Haya Schulmann (Universität Frankfurt am Main) eröffnete mit einem Vortrag zum aktuellen Lagebild der Cybersicherheit an deutschen Hochschulen die Session. Anhand einer quantifizierenden Analyse gab sie einen Überblick über die IT-Landschaften von Universitäten, Unternehmen und weiteren Forschungseinrichtungen im Vergleich. Ein Ergebnis der vorgetragenen Analyse lautete, dass Universitäten Software heute meist noch lizenzieren und lokal installieren („on premise“), während Unternehmen stärker auf Cloudlösungen setzen. Dementsprechend sind auch die Sicherheitslücken unterschiedlich verteilt. Werden heute universitäre Einrichtungen angegriffen, ist es in der Regel das Ziel, nicht direkt Schaden zu verursachen, sondern die Reputation der angegriffenen Universitäten für weitere Angriffe auf Dritte zu nutzen. Diese Art von Cybervorfällen sei viel häufiger als Ransomware-Angriffe. Alle untersuchten Entitäten eint die Tatsache, dass vielfach zeitgleich neue und alte IT-Systeme im Einsatz sind. Ältere Systeme (Legacy-Systeme) könnten oft nicht mehr aktualisiert werden und stellen somit ein Sicherheitsrisiko dar. Auf Basis der Analyse erkennt Schulmann einen höheren Bedarf an professionelleren Strukturen und Sicherheitskonzepten. Zentrale Infrastrukturen über Bundesländergrenzen hinweg zu schaffen, sei hier ein möglicher Weg. In der anschließenden Diskussion mit dem Plenum wurde deutlich, dass Softwarehersteller Cloudlösungen häufig als wirtschaftlicher einstufen, während viele wissenschaftliche Einrichtungen weiterhin lokale Installationen bevorzugen – etwa aus Gründen der Kontrolle oder interner Vorgaben. Die Diskussion machte zugleich deutlich: Die Anforderungen an die IT-Sicherheit steigen, doch die Wege dorthin sind unterschiedlich. Jede Organisation muss eigene Maßnahmen entwickeln, um ihre Systeme nachhaltig abzusichern.
In der Podiumsdiskussion führte Prof. Dr. Petra Haferkorn (Hochschule Bonn-Rhein-Sieg) aus, dass in der bisherigen Betrachtung nur die technische Sicherheit analysiert worden sei, welche aber um die organisatorische Sicherheit ergänzt werden müsste. Prof. Dr. Hans Pongratz (Technische Universität Dortmund) forderte, den Stellenwert der IT-Sicherheit an Universitäten noch weiter zu erhöhen. Dr. Walter Schön gab zu bedenken, dass die Freiheit der Wissenschaft und ein akzeptables Sicherheitsniveau konträre Ziele seien und es einen guten Mittelweg zu finden gelte. Ein weiteres wichtiges Thema war die Gewinnung von Fachkräften für IT-Sicherheit an wissenschaftlichen Einrichtungen. Die Diskutierenden waren sich einig, dass Nachwuchs in der IT-Sicherheit nach wie vor fehle. Speziell im öffentlichen Dienst könnte hierfür auch die zu geringe Besoldung ein Grund sein.
Prof. Dr. Klaus-Peter Kossakowski (HAW Hamburg) berichtete von einem Angriff auf seine Hochschule. Sein Fazit zu diesem Angriff lautete, dass dieser nicht hätte verhindert werden können, da es nicht möglich sei, über die gesamte Fläche einer IT-Landschaft fehlerfrei zu sein. Generell sollte IT-Sicherheit also überall mitgedacht werden und neue Maßnahmen wie Audits oder Hacks der eigenen Systeme sollten in Betracht gezogen werden, statt nur einzelne Positionen wie die eines Chief Information Security Officer zu schaffen. Zero-Trust-Architekturen könnten eine Möglichkeit sein, faktisch mache dies IT-Sicherheit aber schwieriger und teurer und lässt zudem die Frage nach dem Umgang mit Altsystemen unbeantwortet. Generell sei die Fokussierung auf Perimetersicherheit nicht zielführend, es brauche stattdessen vor allem innovative Prozesse und Organisationen, die für den Stellenwert der Daten und der IT-Sicherheit sensibilisieren. Um IT-Sicherheit neu und besser zu leben, müsse vor allem auch beim Verhalten der Nutzenden angesetzt werden.