Hochschulen im Visier von Cyberkriminalität – Warum Lehr- und Forschungsinstitutionen zu Zielen werden

Cyberkriminalität betrifft gefühlt “immer die anderen”, doch schon einige deutsche Hochschulen mussten die erschreckende Erfahrung eines IT-Angriffs und seiner Auswirkungen machen. Welche konkreten Gefahren gehen von so einem Angriff aus? Und warum werden gerade Lehr- und Forschungsinstitutionen zum Ziel? Wir stellen verschiedene Formen von IT-Angriffen vor und haben Hochschulen nach ihren Gegenmaßnahmen gefragt.

Der Angriff auf die Technische Universität Berlin im April 2021 legte den gesamten IT-Verkehr der Hochschule lahm, da nach dem Bemerken des Angriffs vorsorglich das komplette Netzwerk heruntergefahren werden musste. Zu Beginn des Wintersemesters 2021/22 waren die Folgen dieses Angriffs immer noch zu spüren, beispielsweise hatten Studierende im ersten Semester keinen eigenen Zugriff auf das Uni-System und mussten mit Gast-Zugängen arbeiten. Bei einer Cyberattacke auf die Universität Leipzig im September 2021, wurden die Festplatten des Instituts für Medizinische Informatik, Statistik und Epidemiologie (IMISE) durch Ransomware verschlüsselt. Als Gegenmaßnahme wurde das gesamte System des Instituts abgeschaltet. Auch an der SRH Hochschule Heidelberg hatte ein IT-Angriff weitreichende Konsequenzen für den Betrieb, von denen Markus Breuer in unserem Blog berichtete. Diese Angriffe zeigen die dringende Notwendigkeit eines Frühwarnsystems, das die Lokalisierung solcher Attacken beschleunigt und erleichtert. Viele deutsche Hochschulen erhöhten als Antwort auf die publik gewordenen Fälle die Wachsamkeit über ihre Systeme. So konnten zum Beispiel bei einem Angriff auf die Technische Hochschule Nürnberg im Dezember 2021 zumindest schadensbegrenzende Maßnahmen durchgeführt werden, auch wenn sich der Angriff selbst nicht komplett abwehren ließ. 

Hochschulen sind attraktive Ziele 

Institutionen der höheren Bildung werden vor allem aus zwei Gründen zum Ziel von Cyberangriffen: Zum einen bilden sie eine Schnittstelle von Unmengen an wertvollen Daten – von Studierenden, Lehrenden, der Belegschaft und aus der Forschung. Zum anderen verfügen sie über komplexe interne als auch externe Computer- und Netzwerksysteme, die wegen ihrer immensen Größe schwer ganzheitlich zu überwachenden sind. Darüber hinaus werden diese Systeme von einer nicht explizit in Cybersecurity geschulten Userbasis genutzt. 

Aufgrund der Vergrößerung und erhöhten Nutzung dieser Systeme in Zeiten der Corona-Pandemie hat die Frequenz von Cyberattacken auf die institutionelle technische Infrastruktur von Hochschulen drastisch zugenommen. Nach Angriffen, bei denen sensible Daten von Studierenden, Lehrenden und Mitarbeitenden im großen Stil freigelegt und teilweise Lösegeldforderungen gestellt wurden, rückte die Notwendigkeit einer gut –  bzw. besser –  aufgestellten IT-Sicherheit an den Hochschulen weiter in den Mittelpunkt. 

Maßnahmen der Hochschulen 

Das HFD hat stichprobenartig die größten deutschen Universitäten zu ihren IT-Sicherheitsmaßnahmen und -Ausgaben seit dem Beginn der Covid-19-Pandemie befragt. Es zeigt sich: Die Universitäten, die an unserer Befragung teilgenommen haben, erhöhten ihre Ausgaben für IT-Sicherheit in den letzten fünf Jahren. Dies sei unter anderem auf die “zunehmende Digitalisierung und gestiegenen Compliance-Anforderungen” zurückzuführen. 

Die Universität Hamburg gab zudem an, dass die Ausgaben für IT-Sicherheit an ihrer Universität auch unter anderem “aufgrund eines veränderten Bedrohungsszenarios (z.B. vermehrte Angriffe auf Hochschulen wie zuletzt bei der TU Berlin) vor allem in Zukunft noch deutlich steigen” werden. Die Folkwang Universität der Künste meldete: “Die sieben staatlichen Kunst- und Musikhochschulen des Landes NRW haben ihr gemeinsames IT-Dezernat im Jahr 2020 um die Position des Chief Information Security Officers (CISO) und im Jahr 2021 um die Position eines Informationssicherheitskoordinators erweitert.” Auch die Carl von Ossietzky Universität Oldenburg erhöhte ihre Ausgaben für IT-Sicherheit und gab an, fortlaufende Investitionen zu tätigen: “So wurde eine Stabsstelle Datenschutz- und Informationssicherheitsmanagement aufgebaut, ein Informationssicherheitsbeauftragter bestellt und funktionale Gremien zur Vorbereitung von Informationssicherheitsmaßnahmen sowie zur Reaktion auf etwaige Sicherheitsvorfälle etabliert.” 

Ein Großteil der Hochschulen hat auch angegeben, dass sie seit des Beginns des Distance Learnings aufgrund der Covid-19-Pandemie ihre Dienstanweisungen, um z.B. sicherheitsrelevante Einstellungen für Videokonferenz-Software oder die Authentifizierung für Online-Prüfungen erweitert.

Verschiedene Formen von IT-Angriffen

• Hacking: Schwachstellen oder Sicherheitslücken eines Systems werden identifiziert und ausgenutzt, um sich mit Hilfe eines Entschlüsselungsprogramms, wie z.B. Passwort-Algorithmen, oder gestohlenen Benutzerinformationen, Zugang zu den dortigen Daten zu verschaffen.
• Ransomware: Durch eine Sicherheitslücke wird sogenannte Malware auf ein betroffenes System geladen, wodurch die Hacker:innen Zugriff auf alle Daten erlangen und auch in der Lage sind, das System lahmzulegen. Mit der Drohung, diese Daten entweder nicht mehr freizugeben oder sensible Informationen zu veröffentlichen, ist die Freigabe der Systeme an eine Lösegeldforderung oder ähnliche Erpressung gebunden. Die Programme, die benutzt werden, um die betroffenen Systeme anzugreifen, nennt man deswegen Ransomware (engl. “ransom” - Lösegeld).
• Phishing: Phishing-Attacken treten besonders in der elektronischen Kommunikation auf. Benutzer:innen werden E-Mails mit bösartigen Links zugesendet, mit dem Ziel, sensible und wertvolle Informationen durch das unbewusste Zutun der End-Users zu erlangen. Durch den Aufruf eines mit Malware hinterlegten Phishing-Links erhalten Hacker:innen die Kontrolle über das System der End-User und können es so extern steuern und verschlüsseln.
• Spear Phishing: Diese Form des Phishings basiert auf einer personalisierten Attacke, bei der die trügerischen E-Mails durch gesammelte Daten (bspw. von Social Media) mit mehr Glaubwürdigkeit versehen werden, um ein Infiltrieren wahrscheinlicher zu machen.
• Wasserloch-Attacken: Bei dieser Attacke wird das Verhalten von Usern durch Spysoftware beobachtet und oft besuchte Seiten, die IT-Sicherheitslücken aufweisen, werden mit Malware versehen.