Gemeinsam Cybersicherheit an Hochschulen erhöhen: Good Practices aus Frankreich

Die digitale Transformation der Hochschulbildung hat die Art und Weise revolutioniert, wie Hochschulen arbeiten und mit ihren Interessengruppen in Kontakt treten. Sie bringt jedoch neue Herausforderungen mit sich, zum Beispiel im Bereich der Cybersicherheit. Die steigende Zahl von Cyberangriffen auf Hochschulen – wie auch Hans Pongratz, Experte am Zentrum für HochschulBildung (zhb) der TU Dortmund, bei der jüngsten Ausgabe vom U:FF betonte – zeigt, dass der Schutz sensibler Daten, die Absicherung von Informationssystemen und die Eindämmung von Cyberattacken zentrale Aufgaben von Hochschulen im digitalen Zeitalter sind.

In diesem Blogbeitrag werden wir uns mit den allgemeinen Herausforderungen für die Cybersicherheit an Hochschulen, den bewährten Verfahren der Universität Lille sowie den nationalen Bemühungen Frankreichs und den Schwerpunkten für Deutschland befassen. Die Universität Lille ist ein hervorragendes Beispiel für proaktive Maßnahmen mit dem Schwerpunkt auf der Entwicklung eines Bewusstseins für die Notwendigkeit von Cybersicherheit. Wir hatten Gelegenheit mit Pierre Boulet zu sprechen, Vizepräsident für digitale Infrastruktur und Präsident des professionellen Netzwerkverbands L'association des vice-présidents en charge du numérique dans l'enseignement supérieur.

Die Herausforderungen verstehen

Laut Boulet fehlt den Entscheidungsträger:innen oft ein umfassendes Verständnis der technischen Feinheiten. Daher sei es wichtig, sie zunächst für die Risiken der Cybersicherheit zu sensibilisieren, um dem Thema Priorität einzuräumen. Französische Institutionen werden ebenfalls mit schwierigen finanziellen Bedingungen konfrontiert, aber die Führungsebene müsse angemessene Ressourcen für die Entwicklung wirksamer Strategien und Verfahren bereitstellen. Laut Boulet bedeutet dies, dass 10 % des gesamten IT-Budgets einer Institution für die Cybersicherheit aufgewendet werden müssten:

„Wir haben große Anstrengungen unternommen, um den Brandschutz und die allgemeine Sicherheit zu gewährleisten, aber heute ist das Risiko einer Cyberattacke viel wahrscheinlicher als ein Brand und muss daher eine strategische Priorität sein.“

Lille hat fast 80.000 Studierende und einen großen Campus mit alten Gebäuden und hohen Wartungskosten. Die Universität kämpft damit, 10 % des IT-Budgets für die Cybersicherheit aufzuwenden, verfolgt aber dennoch einen proaktiven Ansatz bei den wichtigsten Dingen.

Entwicklung und Umsetzung von Cybersicherheitsrichtlinien und -verfahren

Die Universität Lille hat große Fortschritte bei der Entwicklung und Umsetzung von Strategien und Verfahren gemacht. Obwohl die Cybersicherheit in der Gesamtstrategie der Universität Lille nicht ausdrücklich erwähnt wird, nimmt sie einen wichtigen Platz in ihrer digitalen Strategie ein. Boulet weist darauf hin, dass monatliche Treffen mit den Beauftragten für Informationssicherheit, dem IT-Personal und den Datenschutzbeauftragten, die eine regelmäßige Bewertung und Priorisierung der Cybersicherheit gewährleisten sollen, im Mittelpunkt der Organisation ihrer Bemühungen stehen:

• Kartierung der Geräte der Mitarbeiter:innen und der aktuellen Sicherheitsstufen
• Durchführung von Penetrationstests zur Ermittlung von Schwachstellen
• Forcierte Passwortänderungen für alle Konten zur Verbesserung der Sicherheit
• Teilnahme an regelmäßigen Phishing-Übungen (unterstützt von der nationalen französischen Agentur für Cybersicherheit)
• Schulung von Personal und Studierenden
• Zusammenarbeit mit anderen Universitäten und politischen Entscheidungsträger:innen, um die Maßnahmen zu bündeln

Die verschiedenen Interessengruppen an einen Tisch zu bringen, mag offensichtlich erscheinen, meint Boulet, aber „es ist wichtig zu wissen, was man schützen und wo man sich engagieren muss. Wenn Sie zehn Personen dazu befragen, werden Sie zehn verschiedene Antworten erhalten.“ Seiner Erfahrung nach sei es absolut notwendig, ein Team zu finden, das die Diskussionen in der gesamten Universität vorantreiben kann. Im Falle eines größeren Angriffs auf die Cybersicherheit sei es unerlässlich, schnell zu reagieren, um den Schaden zu minimieren. Die Isolierung von Netzwerken und Servern sowie eine nahezu forensische Analyse, um den Angriff zu verstehen, sind laut Boulet die wichtigsten Schritte, die unternommen werden müssen: "Nur wenn man versteht, was passiert ist, kann man es beheben und neu starten, und das braucht wertvolle Zeit."

Eine Balance zwischen Benutzer:innenfreundlichkeit und Kontrolle finden

Unter der Leitung von Boulet hat die Universität Lille mehrere Maßnahmen zum Schutz sensibler Daten und Informationssysteme eingeführt. Dazu gehören resistente Datensicherungsverfahren (zwei Online- und ein Offline-Speicher, um einen minimalen Datenverlust zu gewährleisten), sichere E-Mail-Systeme, Verschlüsselungen und Softwareaktualisierungen. Dies sei jedoch eine fortlaufende Aufgabe:

„Vor allem, wenn persönliche Geräte von Lehrer:innen und Forscher:innen verwendet werden oder wenn das IT-Team nicht den vollen Überblick über alle Geräte oder die darauf installierte Software hat, ist es wichtig, das Bewusstsein für den Umgang mit Daten zu schärfen.“

Boulet und sein Team setzen dazu verschiedene Strategien ein, wie z. B. das Angebot von Cybersicherheitsschulungen für neue Mitarbeiter:innen und die Integration des Themas Cybersicherheit im Lehrplan für Studierende.

Es besteht jedoch ein schmaler Grat zwischen dem, was  Nutzer:innen bevorzugen, und dem, was Sicherheitsmaßnahmen erfordern. Angesichts heutiger Risiken und unterschiedlicher technischer Kenntnisse der Nutzer:innen in digitalen Bildungsumgebungen bedeutet Verantwortung manchmal, dass wir die Kontrolle übernehmen müssen. Es reicht nicht aus, das Bewusstsein zu schärfen und die Risiken kontinuierlich zu bewerten. Um wirksame Maßnahmen zu ergreifen, müssen wir bereit sein, das Nutzer:innenerlebnis zu stören, indem wir Nutzer:innen beispielsweise dazu bringen, komplexere Passwörter festzulegen oder an obligatorischen Schulungen teilzunehmen. Außerdem müssen wir Strategien entwickeln, damit Nutzer:innen sich nicht dagegen sträuben.

Eine französische Strategie

Seit 2022 hat die nationale französische Agentur für Cybersicherheit einen Ansprechpartner für den Hochschulbereich ernannt. Außerdem wird derzeit eine Richtlinie ausgearbeitet, um die Maßnahmen zu bündeln und die Zusammenarbeit zwischen den Einrichtungen auf nationaler Ebene zu verbessern. Warum ist das so wichtig? Boulet betont, dass es nicht nur darum gehe, sich an den Best Practices in diesem Bereich zu orientieren oder die nationalen Vorschriften und Standards einzuhalten.

Unterstützung und Trainings auf nationaler Ebene, z. B. durch ein nationales Sicherheitszentrum, erzielen eine größere Wirkung. Einzelne Universitäten können zwar Verstöße aufdecken, haben aber oft zu wenig Ressourcen, um Angriffe 24 Stunden am Tag und 365 Tage im Jahr zu überwachen und darauf zu reagieren. Der Aufbau eines nationalen Sicherheitszentrums ist in der Tat eine der 30 Maßnahmen, die derzeit als spezifische Methode in der neuen Digitalisierungsstrategie des französischen Bildungsministeriums (voraussichtlich im 3. Quartal) diskutiert werden. Dies deckt sich mit der Arbeit, die Boulet an einem Konzeptpapier für 2022 geleistet hat, das allen französischen Universitäten als Leitfaden dient (hier auf Französisch verfügbar).

Darin werden konkrete Empfehlungen im Einklang mit den Strategien auf französischer und europäischer Ebene gegeben, wie z. B. die NIS2-Richtlinie von 2023, eine EU-weite Rechtsvorschrift zur Cybersicherheit, die rechtliche Maßnahmen zur Verbesserung des allgemeinen Niveaus der Cybersicherheit in der EU vorsieht und höhere Standards für öffentliche Einrichtungen und Forschungsinstitute festgelegt hat.

Empfehlungen

Im Zuge des digitalen Wandels werden die Herausforderungen der Cybersicherheit ein wichtiges Thema bleiben; die Universitäten müssen wachsam sein. Auf der Grundlage unseres Gesprächs mit Boulet können wir einige Empfehlungen ableiten:

Auf nationaler Ebene

Im Zusammenhang mit der digitalen Transformation der deutschen Hochschulen lohnt es sich, darüber nachzudenken, warum es den Hochschulen schwerfällt, Cybersicherheit als eine ihrer höchsten Prioritäten zu definieren. Müssen wir mehr Licht auf konkurrierende Anforderungen der verschiedenen Programme zur digitalen Transformation werfen, die Aufmerksamkeit und Ressourcen von der Cybersicherheit ablenken? Könnten nationale Simulationsübungen ein größeres Bewusstsein schaffen und gemeinsame Probleme identifizieren?

• Um ein kollektives Engagement für die Sicherung der digitalen Zukunft der Hochschulbildung zu fördern, ist es von entscheidender Bedeutung, mit Hochschulleiter:innen und IT-Expert:innen, politischen Entscheidungsträger:innen aus verschiedenen Ministerien, Anbietern und nationalen Interessenverbänden in einen offenen Dialog zu treten.
• Um das Bewusstsein zu schärfen, Schwachstellen zu identifizieren und Brücken innerhalb und zwischen den Institutionen zu bauen, kann die Investition in eine nationale Krisensimulationsübung (wie OZON) mit einem zentralen Szenario und einem modularen Aufbau als wichtiges Instrument zur Verbesserung der Resilienz von Institutionen angesehen werden. Deutschland kann bereits von den gewonnenen Erkenntnissen profitieren:

„Einzelne Institutionen sind zunehmend mit eigenen Krisenplänen gewappnet, aber es fehlt an einer sektorbezogenen Vorbereitung. Mit der zunehmenden Abhängigkeit von der IT und den verschiedenen Schwachstellen von Daten hat auch die Wahrscheinlichkeit von Krisen in einzelnen Sektoren zugenommen. Das niederländische Institut für Sicherheit und Krisenmanagement empfiehlt, die Vorbereitungen in einem sektoralen oder nationalen Krisenplan für Bildung und Forschung festzulegen. Dazu müssen die Rollen und Verantwortlichkeiten der Dachparteien innerhalb des jeweiligen Bereichs erörtert werden.“

(https://www.surf.nl/en/news/ozon-2023-cyber-crisis-exercise-evaluation-basics-in-place-time-for-sectoral-collaboration)

Auf Führungsebene

• Verankerung der Cybersicherheit als strategische Priorität auf höchster Managementebene
• Organisation und Einbeziehung eines Teams aus Expert:innen aus verschiedenen Bereichen in Diskussionen über das Management von Risiken
• Zusammenarbeit mit nationalen Gremien und Behörden sowie Befolgung einschlägiger Vorschriften und Standards

Im IT-Bereich

• Priorisierung der Ressourcenzuweisung für Cybersicherheitsmaßnahmen auf der Grundlage einer Risikobewertung
• Durchführung regelmäßiger Audits und Penetrationstests zur Ermittlung von Schwachstellen
• Durchführung von Phishing-Übungen und Schulungsprogrammen zur Sensibilisierung von Mitarbeitenden und Studierenden
• Bei Bedarf Cybersicherheitsmaßnahmen erzwingen
• Markierung und Speicherung von Daten an drei Orten, einer davon offline 

Zum Schluss: Fragen Sie sich …

• Wann haben Sie zuletzt eine Cybersicherheitsschulung durchgeführt oder angeboten? Wurde diese für alle Lehrkräfte, Mitarbeiter:innen und Studierende Ihrer Universität durchgeführt?
• Sind Ihre Daten ausreichend geschützt, wenn Sie unterwegs arbeiten? 
• Sind Ihre wichtigen Daten so markiert, dass sie im Falle einer Sicherheitsverletzung gespeichert werden können?
• Ist es für Sie in Ordnung, einen Raum in einem öffentlichen Gebäude zu verlassen, ohne Ihren Computer zu sperren?
• Könnte Cybersicherheit ein Bestandteil des Lehrplans für die Kurse werden, an denen Sie beteiligt sind - nicht nur zum Schutz der Studierenden und der Einrichtung, sondern auch um sicherzustellen, dass die Absolventen mit den wesentlichen Skills ausgestattet werden?

Es ist wichtig, sich von Erfolgsgeschichten wie der der Universität Lille inspirieren zu lassen und beim Schutz unserer Bildungseinrichtungen wachsam zu bleiben. Indem wir gemeinsam der Cybersicherheit und dem Wissensaustausch Priorität einräumen, können wir unsere Abwehr stärken. Teilen Sie gerne über die Kommentarfunktion mit uns und der HFD-Community Ihre Ideen und bewährten Verfahren!