Moderne Technologien verändern die Art und Weise, wie wir leben und lernen. In diesem Umfeld müssen Universitäten flexibel, zugänglich und sicher bleiben. Dies wird immer wichtiger, da Studierende sich zunehmend vernetzen, ihre eigenen Geräte nutzen und in großem Maßstab Daten austauschen. Dies erkennen auch immer mehr Cyberkriminelle. So gab es an britischen Universitäten laut von "The Times" in den vergangenen zwei Jahren doppelt so viele erfolgreiche IT-Attacken (1152) wie zuvor. DDoS-Angriffe legen ganze Systeme lahm, etwa für Online-Kurse oder Prüfungen. Kürzlich haben sich Cyberkriminelle sogar als britisches Erziehungsministerium ausgegeben, bevor sie Ransomware verbreiteten.
Foto: Billion Photos - shutterstock.com
Die Hacker werden dabei immer raffinierter und verfügen über nahezu unbegrenzte Kapazitäten, um die IT-Infrastrukturen von Universitäten anzugreifen. Vernetzte Institutionen wissen bereits, dass sie viele Hausaufgaben erledigen müssen, um die vollständige Kontrolle über Hörsäle, Seminarräume und Netzwerke zu erhalten. Universitäten sollten daher ihre IT-Sicherheitsstrategien überprüfen und den Ansatz "Privacy by Design" (Datenschutz per Design) berücksichtigen. Damit gewährleisten sie, dass Betriebssysteme, Browser-Software und Anwendungen auf dem neuesten Stand und vor aktuellen Bedrohungen geschützt sind.
Alle Netzwerke und Geräte müssen sicher sein
Dazu müssen IT-Teams ermitteln, wo Daten gespeichert sind, und die Netzwerke mit Sicherheit als höchster Priorität aufbauen. Zudem hat jedes angeschlossene Gerät das höchste Maß an Schutzvorkehrungen aufzuweisen. Automatische Geräte- und System-Updates sind ebenso wichtig wie ständige Virenscans. Die Festlegung von Mindestanforderungen für die Sicherheit sowie Informationen an Schüler und Mitarbeiter über sichere Passwörter sollten ebenfalls obligatorisch sein. Zudem ist es wichtig, regelmäßig Datensicherungen mit physischem und Cloud-basiertem Storage durchzuführen. Ein aktueller Schutz des Netzwerk-Perimeters reicht heute nicht mehr aus, da sich sensible Daten häufig auch in Anwendungen befinden, die auf Mobilgeräten laufen. Diese können gestohlen werden, sodass eine umfassende Verschlüsselung der Daten als unerlässlich gilt.
Studierende sind heute deutlich stärker miteinander vernetzt als frühere Generationen. Doch das bedeutet nicht, dass sie auch ausreichend über Sicherheitsgefahren informiert sind oder Schutzmaßnahmen durchführen. Daher sollten Universitäten sie darauf hinweisen, wie sie mögliche Gefahren erkennen können und wie sich Datenschutz und Sicherheit im Internet gewährleisten lässt. Im Zeitalter der sozialen Medien sind auch Regeln wichtig, welche Informationen privat bleiben und nicht veröffentlicht werden sollten.
Regeln auch für Angestellte, Mitarbeiter und Professoren
Doch Cyberkriminelle greifen nicht nur Studierende an, sondern auch das Personal. So müssen Angestellte, studentische Mitarbeiter und Professoren über IT-Sicherheitsthemen informiert werden. Dies betrifft insbesondere die Vermeidung gleichzeitiger Anmeldungen in verschiedenen Anwendungen wie Schulsysteme und soziale Medien. Zudem sollten klare und ständig aktualisierte Richtlinien vorgeben, wie sich Betroffene nach einem Sicherheitsvorfall zu verhalten haben.
Aktuelle Technologien bringen zweifellos viele Vorteile für die Studierenden und das Personal an Universitäten. Doch sie müssen gemeinsam dafür sorgen, dass dadurch keine Sicherheitsgefahren entstehen. Eine umfassende, nachhaltige Strategie für Cybersecurity ist dabei ein fortlaufender Prozess, da sich die Bedrohungen ständig verändern. Und da dies niemand mehr auf die leichte Schulter nehmen kann, erfordern Sicherheit und Datenschutz ständig höchste Priorität.
Professor Rudolf Hackenberg, wissenschaftlicher Mitarbeiter im Laboratory for Safe and Secure Systems (LaS3) der OTH Regensburg erläutert, wie sich Hochschulen vor Hackern schützen können.
CW: Wie beurteilen Sie Bedrohungslage an deutschen Universitäten und Fachhochschulen?
RUDOLF HACKENBERG: Generell hat sich in den letzten Jahren durch die Entwicklung hochgradig vernetzter und volatiler Systeme die Bedrohungslage deutlich erhöht. Dies gilt gleichermaßen für Hochschulen und Unternehmen. Entsprechend ist davon auszugehen, dass auch an Hochschulen die Anzahl der Angriffe weiter steigt.
Foto: OTH Regensburg
CW: Warum gerät der Bildungssektor zunehmend ins Visier von Hackern?
RUDOLF HACKENBERG: Angreifern geht es oft um wertvolle Informationen. Diese sind in der Regel besonders gut geschützt, auch bei Universitäten. Die zunehmende Zahl von Angriffen ergibt sich vor allem aus dem steigenden Grad der Vernetzung potentiell unsicherer Endgeräte und deren Anbindung an die Hochschulnetze. Vor dieser Herausforderung stehen auch Unternehmen.
CW: Wie können sich Universitäten vor solchen Angriffen schützen?
RUDOLF HACKENBERG: Prinzipiell sind die Daten und Systeme der Institute und Universitäten gut geschützt. Im Vergleich zu Unternehmen unterliegen sie noch strikteren Anforderungen, etwa durch das BSI. Sie sollten aber für Studierende und studentische Mitarbeiter die Nutzung von privaten Geräten regeln, zum Beispiel bei Zugriff auf beziehungsweise Speicherung von Forschungsdaten oder personenbezogenen Daten. Zumindest ist ihnen bewusst zu machen, welche Daten sie verschlüsseln und wie sie den Zugriff auf die Geräte sichern sollten. Dafür eignen sich Awareness-Kampagnen und Schulungsangebote.
CW: Was sollten Universitäten beachten, damit sensible Daten nicht in falsche Hände geraten?
RUDOLF HACKENBERG: Besonders problematisch sind Daten auf Endgeräten von Mitarbeitern und Studierenden sowie die Schnittstellen dieser Geräte in die Institutsnetze. Dies reicht von Smartphones bis zu Fitness-Trackern. Administratoren und IT-Leiter können durch technische Maßnahmen nicht alle Gefahren oder Missbrauch verhindern. Daher müssen Universitäten die Besitzer potenziell unsicherer Endgeräte zu einem verantwortungsbewussten Umgang motivieren. Um diesen zu erleichtern sind einerseits einfache nutzbare Sicherheitsmechanismen und Update-Verfahren bereitzustellen. Andererseits ist die User-Awareness zentral, bereitgestellt etwa durch Vorlesungen zur IT-Sicherheit in allen Studiengängen - nicht nur in der Informatik.