Die digitale Transformation der Hochschulbildung hat die Art und Weise revolutioniert, wie Hochschulen arbeiten und mit ihren Interessengruppen in Kontakt treten. Sie bringt jedoch neue Herausforderungen mit sich, zum Beispiel im Bereich der Cybersicherheit. Die steigende Zahl von Cyberangriffen auf Hochschulen – wie auch Hans Pongratz, Experte am Zentrum für HochschulBildung (zhb) der TU Dortmund, bei der jüngsten Ausgabe vom U:FF betonte – zeigt, dass der Schutz sensibler Daten, die Absicherung von Informationssystemen und die Eindämmung von Cyberattacken zentrale Aufgaben von Hochschulen im digitalen Zeitalter sind.
In diesem Blogbeitrag werden wir uns mit den allgemeinen Herausforderungen für die Cybersicherheit an Hochschulen, den bewährten Verfahren der Universität Lille sowie den nationalen Bemühungen Frankreichs und den Schwerpunkten für Deutschland befassen. Die Universität Lille ist ein hervorragendes Beispiel für proaktive Maßnahmen mit dem Schwerpunkt auf der Entwicklung eines Bewusstseins für die Notwendigkeit von Cybersicherheit. Wir hatten Gelegenheit mit Pierre Boulet zu sprechen, Vizepräsident für digitale Infrastruktur und Präsident des professionellen Netzwerkverbands L'association des vice-présidents en charge du numérique dans l'enseignement supérieur.
Laut Boulet fehlt den Entscheidungsträger:innen oft ein umfassendes Verständnis der technischen Feinheiten. Daher sei es wichtig, sie zunächst für die Risiken der Cybersicherheit zu sensibilisieren, um dem Thema Priorität einzuräumen. Französische Institutionen werden ebenfalls mit schwierigen finanziellen Bedingungen konfrontiert, aber die Führungsebene müsse angemessene Ressourcen für die Entwicklung wirksamer Strategien und Verfahren bereitstellen. Laut Boulet bedeutet dies, dass 10 % des gesamten IT-Budgets einer Institution für die Cybersicherheit aufgewendet werden müssten:
„Wir haben große Anstrengungen unternommen, um den Brandschutz und die allgemeine Sicherheit zu gewährleisten, aber heute ist das Risiko einer Cyberattacke viel wahrscheinlicher als ein Brand und muss daher eine strategische Priorität sein.“
Lille hat fast 80.000 Studierende und einen großen Campus mit alten Gebäuden und hohen Wartungskosten. Die Universität kämpft damit, 10 % des IT-Budgets für die Cybersicherheit aufzuwenden, verfolgt aber dennoch einen proaktiven Ansatz bei den wichtigsten Dingen.
Die Universität Lille hat große Fortschritte bei der Entwicklung und Umsetzung von Strategien und Verfahren gemacht. Obwohl die Cybersicherheit in der Gesamtstrategie der Universität Lille nicht ausdrücklich erwähnt wird, nimmt sie einen wichtigen Platz in ihrer digitalen Strategie ein. Boulet weist darauf hin, dass monatliche Treffen mit den Beauftragten für Informationssicherheit, dem IT-Personal und den Datenschutzbeauftragten, die eine regelmäßige Bewertung und Priorisierung der Cybersicherheit gewährleisten sollen, im Mittelpunkt der Organisation ihrer Bemühungen stehen:
Die verschiedenen Interessengruppen an einen Tisch zu bringen, mag offensichtlich erscheinen, meint Boulet, aber „es ist wichtig zu wissen, was man schützen und wo man sich engagieren muss. Wenn Sie zehn Personen dazu befragen, werden Sie zehn verschiedene Antworten erhalten.“ Seiner Erfahrung nach sei es absolut notwendig, ein Team zu finden, das die Diskussionen in der gesamten Universität vorantreiben kann. Im Falle eines größeren Angriffs auf die Cybersicherheit sei es unerlässlich, schnell zu reagieren, um den Schaden zu minimieren. Die Isolierung von Netzwerken und Servern sowie eine nahezu forensische Analyse, um den Angriff zu verstehen, sind laut Boulet die wichtigsten Schritte, die unternommen werden müssen: "Nur wenn man versteht, was passiert ist, kann man es beheben und neu starten, und das braucht wertvolle Zeit."
Unter der Leitung von Boulet hat die Universität Lille mehrere Maßnahmen zum Schutz sensibler Daten und Informationssysteme eingeführt. Dazu gehören resistente Datensicherungsverfahren (zwei Online- und ein Offline-Speicher, um einen minimalen Datenverlust zu gewährleisten), sichere E-Mail-Systeme, Verschlüsselungen und Softwareaktualisierungen. Dies sei jedoch eine fortlaufende Aufgabe:
„Vor allem, wenn persönliche Geräte von Lehrer:innen und Forscher:innen verwendet werden oder wenn das IT-Team nicht den vollen Überblick über alle Geräte oder die darauf installierte Software hat, ist es wichtig, das Bewusstsein für den Umgang mit Daten zu schärfen.“
Boulet und sein Team setzen dazu verschiedene Strategien ein, wie z. B. das Angebot von Cybersicherheitsschulungen für neue Mitarbeiter:innen und die Integration des Themas Cybersicherheit im Lehrplan für Studierende.
Es besteht jedoch ein schmaler Grat zwischen dem, was Nutzer:innen bevorzugen, und dem, was Sicherheitsmaßnahmen erfordern. Angesichts heutiger Risiken und unterschiedlicher technischer Kenntnisse der Nutzer:innen in digitalen Bildungsumgebungen bedeutet Verantwortung manchmal, dass wir die Kontrolle übernehmen müssen. Es reicht nicht aus, das Bewusstsein zu schärfen und die Risiken kontinuierlich zu bewerten. Um wirksame Maßnahmen zu ergreifen, müssen wir bereit sein, das Nutzer:innenerlebnis zu stören, indem wir Nutzer:innen beispielsweise dazu bringen, komplexere Passwörter festzulegen oder an obligatorischen Schulungen teilzunehmen. Außerdem müssen wir Strategien entwickeln, damit Nutzer:innen sich nicht dagegen sträuben.
Seit 2022 hat die nationale französische Agentur für Cybersicherheit einen Ansprechpartner für den Hochschulbereich ernannt. Außerdem wird derzeit eine Richtlinie ausgearbeitet, um die Maßnahmen zu bündeln und die Zusammenarbeit zwischen den Einrichtungen auf nationaler Ebene zu verbessern. Warum ist das so wichtig? Boulet betont, dass es nicht nur darum gehe, sich an den Best Practices in diesem Bereich zu orientieren oder die nationalen Vorschriften und Standards einzuhalten.
Unterstützung und Trainings auf nationaler Ebene, z. B. durch ein nationales Sicherheitszentrum, erzielen eine größere Wirkung. Einzelne Universitäten können zwar Verstöße aufdecken, haben aber oft zu wenig Ressourcen, um Angriffe 24 Stunden am Tag und 365 Tage im Jahr zu überwachen und darauf zu reagieren. Der Aufbau eines nationalen Sicherheitszentrums ist in der Tat eine der 30 Maßnahmen, die derzeit als spezifische Methode in der neuen Digitalisierungsstrategie des französischen Bildungsministeriums (voraussichtlich im 3. Quartal) diskutiert werden. Dies deckt sich mit der Arbeit, die Boulet an einem Konzeptpapier für 2022 geleistet hat, das allen französischen Universitäten als Leitfaden dient (hier auf Französisch verfügbar).
Darin werden konkrete Empfehlungen im Einklang mit den Strategien auf französischer und europäischer Ebene gegeben, wie z. B. die NIS2-Richtlinie von 2023, eine EU-weite Rechtsvorschrift zur Cybersicherheit, die rechtliche Maßnahmen zur Verbesserung des allgemeinen Niveaus der Cybersicherheit in der EU vorsieht und höhere Standards für öffentliche Einrichtungen und Forschungsinstitute festgelegt hat.
Im Zuge des digitalen Wandels werden die Herausforderungen der Cybersicherheit ein wichtiges Thema bleiben; die Universitäten müssen wachsam sein. Auf der Grundlage unseres Gesprächs mit Boulet können wir einige Empfehlungen ableiten:
Im Zusammenhang mit der digitalen Transformation der deutschen Hochschulen lohnt es sich, darüber nachzudenken, warum es den Hochschulen schwerfällt, Cybersicherheit als eine ihrer höchsten Prioritäten zu definieren. Müssen wir mehr Licht auf konkurrierende Anforderungen der verschiedenen Programme zur digitalen Transformation werfen, die Aufmerksamkeit und Ressourcen von der Cybersicherheit ablenken? Könnten nationale Simulationsübungen ein größeres Bewusstsein schaffen und gemeinsame Probleme identifizieren?
„Einzelne Institutionen sind zunehmend mit eigenen Krisenplänen gewappnet, aber es fehlt an einer sektorbezogenen Vorbereitung. Mit der zunehmenden Abhängigkeit von der IT und den verschiedenen Schwachstellen von Daten hat auch die Wahrscheinlichkeit von Krisen in einzelnen Sektoren zugenommen. Das niederländische Institut für Sicherheit und Krisenmanagement empfiehlt, die Vorbereitungen in einem sektoralen oder nationalen Krisenplan für Bildung und Forschung festzulegen. Dazu müssen die Rollen und Verantwortlichkeiten der Dachparteien innerhalb des jeweiligen Bereichs erörtert werden.“ (https://www.surf.nl/en/news/ozon-2023-cyber-crisis-exercise-evaluation-basics-in-place-time-for-sectoral-collaboration)
„Einzelne Institutionen sind zunehmend mit eigenen Krisenplänen gewappnet, aber es fehlt an einer sektorbezogenen Vorbereitung. Mit der zunehmenden Abhängigkeit von der IT und den verschiedenen Schwachstellen von Daten hat auch die Wahrscheinlichkeit von Krisen in einzelnen Sektoren zugenommen. Das niederländische Institut für Sicherheit und Krisenmanagement empfiehlt, die Vorbereitungen in einem sektoralen oder nationalen Krisenplan für Bildung und Forschung festzulegen. Dazu müssen die Rollen und Verantwortlichkeiten der Dachparteien innerhalb des jeweiligen Bereichs erörtert werden.“
(https://www.surf.nl/en/news/ozon-2023-cyber-crisis-exercise-evaluation-basics-in-place-time-for-sectoral-collaboration)
Es ist wichtig, sich von Erfolgsgeschichten wie der der Universität Lille inspirieren zu lassen und beim Schutz unserer Bildungseinrichtungen wachsam zu bleiben. Indem wir gemeinsam der Cybersicherheit und dem Wissensaustausch Priorität einräumen, können wir unsere Abwehr stärken. Teilen Sie gerne über die Kommentarfunktion mit uns und der HFD-Community Ihre Ideen und bewährten Verfahren!
Your first name.
Weitere Informationen über Textformate
Enter the characters shown in the image.
Das Hochschulforum Digitalisierung möchte Ihre Ideen in die Gestaltung der Website einbeziehen. Dafür bitten wir Sie herzlich, an unserer Umfrage teilzunehmen.Als Dankeschön können Sie einen von drei Hoodies vom Hochschulforum Digitalisierung gewinnen.
Hinweis: Die Umfrage wird über Google Formulare durchgeführt. Durch Klicken auf den Button werden Sie zum Google Formular weitergeleitet.
Jetzt teilnehmen