Von: IAFW

Datenklau kann eine Hochschule komplett lahmlegen und massive Langzeitfolgen nach sich ziehen. Dr. Marian Corbe sensibilisierte in einem Vortrag für die Risiken und stellte wirkungsvolle Gegenmaßnahmen vor. Fazit: Jeder kann etwas tun.

Unter dem Eindruck regelmäßiger IT-Pannen, in deren Folge sich Unternehmen und Einrichtungen die eigenen Daten von Erpressern zurückkaufen müssen, hat sich um Prof. Dr. Markus Bresinsky an der OTH Regensburg die Taskforce „Cybersecurity und kritische Infrastruktur“ gebildet. Sie besteht aus Studierenden des Studienfachs International Relations und Management und greift auch regelmäßig auf die Expertise von Dr. Marian Corbe, geschäftsführender Gesellschafter der RST Informationssicherheit GmbH, zurück. Dieser hat das Thema nun, unterstützt durch die Studentin Carola Kreitmayr, auch interessierten Hochschulangehörigen nähergebracht.

Seinen Vortrag zum Thema „Datensicherheit in Forschung und Lehre“ begann Corbe mit aktuellen Beispielen, die die potenziell massiven Folgen eines Cyberangriffs deutlich machten. So war die Universität Duisburg-Essen erst im November 2022 Zielscheibe eines sogenannten Ransomware-Angriffs geworden. Die Täter „kidnappten“ und verschlüsselten dabei u.a. sensible Personen- und Forschungsdaten. Die verheerenden Konsequenzen für die Hochschule: IT-Systeme mussten abgeschaltet und neu aufgebaut werden, Studierende konnten teils nicht auf Lehrmaterialien zugreifen und es ist nicht abschätzbar, bis wann die  Universität den Vorfall behoben haben wird. Der Normalbetrieb wird vermutlich erst wieder zum Sommersemester 2023 aufgenommen werden können.

„Gefahrenbewusstsein ist essenziell“

Auch an der OTH Regensburg kursieren regelmäßig Phishing-Mails (die manchmal perfiderweise selbst vor Phishing-Mails warnen). Diese Mails möchten Mitarbeitende zu einem leichtfertigen Klick verleiten, um so Schadsoftware auf den Rechner und ins Hochschulnetz zu schleusen. Dass dies in den meisten Fällen nicht klappt, ist den Angreifern Dr. Corbe zufolge vollkommen klar. Zugleich wissen sie, dass sie es nur häufig genug versuchen müssen; denn der Mensch ist einfach das schwächste, weil anfälligste und am leichtesten manipulierbare Glied in der Cybersicherheit. „Ein Bewusstsein der Mitarbeitenden für die digitalen Gefahren ist deswegen essenziell.“

Hochschulen sind dabei besonders stark gefährdet, erläuterte Corbe weiter. Sie geben aus Sicht der Angreifer ebenso leichte wie auch vielversprechende Ziele ab: Hier herrscht eine Kultur der Offenheit und auch des Vertrauens, die Verantwortlichkeiten sind stark fragmentiert, es werden häufig dienstliche wie auch private Endgeräte genutzt und es werden sowohl in der Forschung als auch in der Verwaltung und auf unterschiedlichsten Systemen personenbezogene und sensible Daten verarbeitet.

Kommt es schließlich zu einer großen Datenpanne, ist das für die Hochschulen in gleich mehrerlei Hinsicht fatal. Zum einen geht der finanzielle Schaden schnell in die Millionen. Zum anderen ist ein Imageschaden zu befürchten, der sinkende Neueinschreibungszahlen und steigende Zurückhaltung bei der Forschungskooperation – in Gefahr sind zum Beispiel Patente, aber auch besonders sensible Personendaten aus der Sozialwissenschaft – nach sich ziehen kann.

Maßnahmen für jeden Einzelnen

Die gute Nachricht: Jede und jeder kann etwas tun, um das Risiko zu verringern. Forschungsdaten können Projektpartner zum Beispiel dadurch gut schützen, indem sie regelmäßig (verschlüsselte) Backups erstellen und die Daten an voneinander unabhängigen Orten aufbewahren. Weiter erhöht wird der Schutz durch das Least-Privilege-Prinzip, demzufolge Zugriffsrechte auf den kleinstmöglichen Personenkreis zu beschränken sind. Passwörter sollten zumindest gegen automatisierte „Brute-Force-Angriffe“ geschützt sein – das sind sie, wenn sie zwischen acht und zwölf Zeichen lang sind und dabei vier Zeichenarten beinhalten. Ein potenzielles Risiko stellen außerdem Cloud-Dienste dar, die zum Beispiel im Rahmen von Kooperationsprojekten genutzt werden. Hier ist darauf zu achten, den Zugang verstärkt zu schützen – etwa durch eine Zwei-Faktor-Authentifizierung oder indem ein Zugang nur aus dem eigenen Netzwerk möglich ist – und die Daten möglicherweise nur in verschlüsselter Form in die Cloud zu übertragen.

Ein gutes Maß an Cybersecurity bei Mitarbeitenden und Studierenden ist erreicht, wenn alle stets wachsam sind und bei verdächtigen Mails, die Links enthalten, beispielsweise erst die Zieladresse prüfen (dazu die Maus darauf ruhen lassen), ehe sie klicken. Diejenigen, die aus Versehen doch geklickt haben, ermutigte Dr. Marian Corbe, nicht zu schweigen. Nur wenn das Rechenzentrum informiert wird, können die Kolleginnen und Kollegen dort schließlich die notwendigen Maßnahmen ergreifen.

Zusammenspiel aller Sicherheitsmaßnahmen

Aus dem Zusammenspiel der technischen und organisatorischen Sicherheitsmaßnahmen, abgerundet durch Sensibilisierung der Mitarbeitenden ergibt sich eine ganzheitliche Reduktion der Cyberrisiken. Die Umsetzung eines solchen Konzeptes kann im Rahmen eines risikobasierten Managementsystems zur Informationssicherheit erfolgen, dass auf den Kontext der OTH-Regensburg zugeschnitten ist.  

„Bei allen Vorsichtsmaßnahmen: Ein 100-prozentiger Schutz wird leider nie möglich sein“, gestand Dr. Marian Corbe ein. Deshalb rät er Hochschulen dazu, die Abläufe für den Ernstfall regelmäßig einzuüben. Denn: Gerade in Krisensituationen ist es wichtig, den kühlen Kopf zu bewahren.

Hinweis für Beschäftigte:

Besondere Vorsicht ist bekanntlich bei Mails geboten, die im Betreff mit „[EXT]“ gekennzeichnet sind. Das Kürzel markiert eine Nachricht von außerhalb des OTH-Netzes, die besonders vorsichtig zu behandeln ist – auch wenn der Nachrichteninhalt den Anschein erwecken will, vertrauenswürdig zu sein. Weitere Tipps und Hinweise gibt das Rechenzentrum hier.