Wenn aufgrund eines Cyberangriffs die Server abgeschaltet weden müssen, hat das auf den Betrieb einer Hochschule zunächst katastrophale Auswirkungen. Doch der IT-Angriff auf die SRH Hochschule Heidelberg im September 2021 brachte neben allem Übel auch eine positive Entwicklung mit sich: eine beschleunigende Wirkung auf den Digitalisierungsprozess in Lehre und Administration, und die kollegiale Bereitschaft, sich über die Erwartungen hinaus für die Hochschule einzusetzen. In diesem Blogartikel beschreiben Prof. Carsten Diener (Rektor, SRH Heidelberg) und Prof. Markus Breuer (Prorektor, SRH Heidelberg) den Ablauf des Cyberangriffs und berichten von dessen Auswirkungen und ihren (Schutz-)Maßnahmen und Learnings.

Ausgangssituation

Die SRH betreibt in Deutschland sieben Hochschulen mit mehr als 18.000 Studierenden. Die SRH Hochschule Heidelberg ist innerhalb des Verbunds die mit ca. 3.500 Studierenden größte Präsenzhochschule. Sechs Fakultäten bieten insgesamt mehr als 30 Bachelor- und Masterprogramme in deutscher und englischer Sprache an. Auf dem Campus finden sich neben den Lern- und Veranstaltungsräumen weiterhin Büros, die Bibliothek, die Mensa und mehrere hundert Wohnheimzimmer. 

Im Zuge des ersten Lockdowns 2020 stellte die Hochschule den Präsenzbetrieb überwiegend ein. Der Lern- und Lehrbetrieb wurde über Live-Veranstaltungen mit Hilfe von MS Teams sichergestellt. Für das Wintersemester wurde in Übereinstimmung mit der geltenden Corona-Verordnung des Landes Baden-Württemberg ein bedeutsamer Teil der Veranstaltungen in Präsenz geplant. Der andere Teil sollte weiterhin online abgehalten werden. Dies betraf vor allem die internationalen Programme, in denen ein großer Teil der Studierenden im Zuge der Corona-Pandemie noch nicht nach Deutschland reisen konnte. 

Cyberangriff auf die SRH im September 2021

Im September 2021 ist die SRH mit ihrer gesellschaftsübergreifenden IT-Infrastruktur Ziel eines Cyberangriffs geworden. Die entsprechenden Polizei- und Datenschutzbehörden waren selbstverständlich informiert und involviert. Diese Ereignisse führten dazu, dass die Server, die für die Administration der Hochschulen zuständig sind, am Sonntag, dem 19.09.2021 abgeschaltet werden mussten. 

Direkte Folge dieses Abschaltens war eine massive Störung der Kommunikation. Hochschulmitarbeitende sowie Studierende hatten von einem Tag auf den anderen keinen Zugriff auf ihre Mails. Daneben waren LAN- und WLAN-Verbindungen auf dem Campus nicht mehr nutzbar und die Telefone (Voice over IP-Technologie) fielen aus. Weder Studierende noch die Hochschule hatten Zugriff auf das Campus Management System. Mittelbar betroffen war weiterhin bspw. die Bibliothek, die keine Entleihungen mehr vornehmen konnte. Glücklicherweise waren nur wenige Rechner innerhalb der Hochschule mit Schadsoftware infiziert worden, so dass in der Regel ein Update ausreichte, um die bestehenden Geräte auch weiterhin nutzen zu können. 

Erste Schritte

Das Abschalten der Systeme war nach dem Entdecken des Angriffs am 19.09. notwendig geworden. Die ersten Schritte der Hochschule zielten am Montag, 20.09.02021, darauf ab, den Lern- und Lehrbetrieb, insbesondere online, so gut wie möglich aufrecht zu erhalten. Um den Ausfall von MS Teams zu kompensieren, wurden kurzfristig Zoom-Lizenzen angeschafft. Die größte Herausforderung für den laufenden Lehrbetrieb war es, die interne Kommunikation zu gewährleisten und Studierende wie Mitarbeitende über die aktuelle Situation und Maßnahmen zu informieren. So mussten bspw. die Zugangsdaten für die neu angelegten Zoom-Räume an die Studierenden weitergegeben werden. 

Für die Fakultäten und ausgewählte Zentralbereiche konnten kurzfristig E-Mailadressen über unsere Schwesterhochschule, die SRH Mobile University angelegt werden, deren Rechenzentrum von der Attacke nicht betroffen war. Somit war kurzfristig ein minimaler Informationsfluss innerhalb der Hochschule möglich. Durch die Veröffentlichung der Adressen auf der Homepage waren die Kolleg:innen wieder für die Studierenden zu erreichen. Allerdings gab es in der ersten Zeit keine Möglichkeit, die Studierenden über ihre SRH-Mailadressen zu kontaktieren. Neue Informationen wurden zum einen ebenfalls auf der Homepage veröffentlicht. Zum anderen war die Ansprache ganzer Kurse in vielen Fällen über die Kurssprecher möglich. Diese haben häufig private Kontaktdaten zur Verfügung gestellt und haben die Infos dann über studentische WhatsApp Gruppen u. Ä. weitergegeben. 

Eng mit der Lehre verbunden musste sichergestellt werden, dass Prüfungen wie geplant abgehalten werden konnten. Nur so war zu garantieren, dass die Studierenden ihr Studium in der Regelstudienzeit abschließen konnten. Dies stellte insbesondere im Falle von Online-Prüfungen eine Herausforderung dar. 

Neben dem Aufrechterhalten des Lehrbetriebs war die Vorbereitung des kommenden Wintersemesters die zweite zentrale Herausforderung. Die Immatrikulation der neuen Studierenden war vor Beginn des Winters noch nicht abgeschlossen. Bis Anfang Oktober waren Bewerbungen von neuen Studierenden nur über eine zentrale Mailadresse möglich und mussten im Nachgang manuell bearbeitet werden, was für die Mitarbeiter:innen in diesem Bereich mit einem signifikanten Mehraufwand verbunden war. 

Krise als Chance

In den Tagen und Wochen nach der Attacke waren sowohl das Campus Management System, als auch MS Teams nicht oder nur mit Einschränkungen nutzbar. Somit war es, auch wenn die unmittelbaren Lehrveranstaltungen abgehalten werden konnten, zunehmend schwierig, die Studierenden mit Lehrmaterialien zu versorgen und andere Möglichkeiten der Lernunterstützung umzusetzen. 

Die Einführung von Moodle als neue Plattform zur Unterstützung der Selbstlernphasen war seitens der Hochschule schon vor dem Angriff beschlossen worden. Durch die Einschränkungen bei der technischen Infrastruktur hat sich die Hochschulleitung im Oktober 2021 entschlossen, die Einführung vorzuziehen. Gemeinsam mit den Kolleg:innen der SRH Mobile University konnte den Lehrenden für das Wintersemester 2021/22 eine nutzungseingeschränkte Version der Software zur Verfügung gestellt werden. Ab dem Sommersemester 2022 steht allen Lehrenden nun die Vollversion von Moodle zur Organisation und Unterstützung ihrer Module zur Verfügung. 

Der Cyberangriff wurde damit, unverhofft und unbeabsichtigt, zum Beschleuniger der Digitalisierung der Lehre. Durch die Einschränkungen der etablierten Systeme im Winter 2021/22 waren viele Lehrende praktisch gezwungen, Moodle als Alternative auszuprobieren, so dass die Einführung der Vollversion im folgenden Semester zweifelsohne leichter fiel.  

Erkenntnisse für die Zukunft

Die erste Erkenntnis aus den Ereignissen der letzten Monate ist, dass es eben nicht immer nur die anderen trifft. Fast täglich berichten die Medien von Cyberangriffen auf Unternehmen und andere Organisationen. Anfang September 2021 war die Uni Liechtenstein betroffen. In den Wochen nach dem Angriff auf die SRH wurden entsprechende Mitteilungen über die Uni Leipzig und die Technische Hochschule Nürnberg veröffentlicht. Freilich stellen diese in den Medien kommentierten Angriffe nur die Spitze des Eisbergs dar. 

Wie andere vor uns mussten wir aber auch einsehen, dass der Wiederaufbau der IT-Infrastruktur ein langwieriger Prozess ist. Nicht alle alten Systeme konnten wiederhergestellt werden; einige mussten aus Sicherheitsgründen ersetzt werden. 

Die wichtigste Erkenntnis aus dem Cyberangriff ist aber, dass in einer außergewöhnlichen Situation Mitarbeitende wie Studierende bereit sind, sich über alle Erwartungen hinaus für ihre Hochschule zu engagieren. Wir haben in allen Bereichen eine sehr hohe Flexibilität erfahren dürfen, ohne die ein Aufrechterhalten des Lehrbetriebs nicht möglich gewesen wäre. Lehrende haben ihre privaten Kommunikationskanäle genutzt, um in Kontakt mit den Studierenden zu bleiben und die Studierenden selbst haben nicht nur ihre WhatsApp-Gruppen geöffnet, sondern auch auf ihre Abschlusszeugnisse gewartet, wenn diese noch nicht wieder gedruckt werden konnten. Dieses Commitment, das Verständnis und die Geduld machen uns dankbar und stolz zugleich. Die Corona-Pandemie und der Cyberangriff wären jeweils einzeln in der Lage gewesen, die Organisationen an ihre Grenzen zu führen. Die SRH Hochschule Heidelberg, ihre Studierenden und Mitarbeitenden mussten mit beidem zugleich umgehen.