Hochschulen sehen sich vermehrt von Cyber-Angriffen bedroht. Um aus den bisherigen Fällen zu lernen und Hochschulen bei der Krisenbewältigung zu unterstützen, hat das HIS-Institut für Hochschulentwicklung e. V. (HIS-HE) in den vergangenen Monaten eine Interviewstudie durchgeführt und als Ergebnis Handlungsempfehlungen für das Krisenmanagement nach Cyber-Angriffen veröffentlicht.

Eine offizielle Zählung von Cyber-Angriffen auf Landes- oder Bundesebene gibt es nicht, aber auf Basis öffentlicher Bekanntmachungen hat konbriefing.com für 2022 16 und für 2023 bereits 14 Cyber-Angriffe gezählt. Bis Ende dieses Jahres werden wahrscheinlich noch weitere Angriffe hinzukommen, da die Angreifer:innen vor allem an Feier- und Brückentagen sowie an Wochenenden aktiv werden. In der von HIS-HE durchgeführten Interviewstudie wurden die Kanzler:innen und teilweise weitere Abteilungsleitungen (insbesondere im Bereich IT und Kommunikation) von fünf betroffenen Hochschulen befragt. Im Fokus der Untersuchung standen nicht IT-Fragen im weitesten Sinne, sondern die Bewältigung der Krise in Folge eines Cyber-Angriffes und welche Empfehlungen sich im Umkehrschluss daraus ableiten lassen.

In den Interviews hat sich gezeigt, dass sich für die Hochschulen aufgrund der jeweils unterschiedlichen IT-Landschaften und der verschiedenen Angriffswege jeder Angriff zu einem individuellen Krisenszenario entwickelte. Die Bandbreite an Folgeerscheinungen ist entsprechend in der Größe variabel und nicht für jedes Krisenszenario kann eine Handlungsanweisung erstellt werden. Die von HIS-HE erarbeitete und mit einer Reihe von Expert:innen abgestimmte Handreichung ist entsprechend eine Verallgemeinerung, die individuell an die Gegebenheiten der Hochschule angepasst werden muss.

So zeigt sich u. a., dass neben der frühzeitigen Erkennung eines Cyber-Angriffes (Detektion) in der Frühphase einer Cyber-Attacke (Zeitpunkt 0) nicht nur ein IT-Krisenstab sofort seine Tätigkeit aufnehmen sollte, sondern auch eine ganze Reihe von Grundfragen sofort beantwortet müssen. In der Handreichung sind pro Phase des Angriffes eine Reihe von Fragen formuliert, die durch die Hochschulen bereits vorab beantwortet werden können. Diese Fragen reichen u. a. von „Wer ist Teil des IT-Krisenstabes?“ und „Wie sind die Mitglieder im Urlaub zu erreichen?“ über „Wer trifft die Entscheidung, das IT-System der Hochschule vom Internet zu trennen?“ bis hin zu „Welche externe Expert:innen stehen sofort zur Verfügung?“

Neben der Etablierung von mind. zwei Krisenstäben (IT-Krisenstab und zentraler, übergeordneter Krisenstab) und der Etablierung eines Krisenmanagements ist ein weiteres zentrales Aufgabenfeld die Etablierung einer Krisen-Kommunikation – innerhalb der Hochschule wie auch nach extern. Dies ist u. a. davon abhängig, welche Kommunikationswege der Hochschule nach dem Cyber-Angriff noch zur Verfügung stehen. Empfehlenswert ist mind. eine Notfallhomepage vorab zu etablieren. Ein weiterer zentraler Punkt ist die externe Unterstützung, da kurzfristig ein hoher Bedarf an Personal und Fachwissen vor allem in den Bereichen IT und Kommunikation besteht. Auch diese Punkte können vorab bestimmt werden – u. a. durch Rahmenverträge. Weitere Punkte wie Prioritäten zur Wiederherstellung oder Wiederaufbau der IT-Landschaft sind abhängig von der Schwere des Angriffes, wobei auch der Zeitpunkt entscheidend ist.

In der Prüfungs- oder Einschreibephase bestehen andere Prioritäten als in der vorlesungsfreien Zeit. Auch wenn diese Punkte nur bedingt vorbereitet werden können, so können dennoch Aspekte wie der Aufbau eines Kontinuitätsmanagements (BCM) oder die technische Simulation (wie z. B. das Trennen des IT-Systems vom Internet) ungemein hilfreich sein. Unabhängig davon hat sich in den Gesprächen gezeigt, dass Cyber-Angriffe auf Hochschulen eine Krisenerfahrung für die Hochschule als Organisation wie auch für die einzelnen Hochschulmitglieder darstellen. Es entsteht eine „wellenartige“ Arbeitsbelastung für die Abteilungen und Mitglieder der Hochschule, die zu langwierigen Folgeerscheinungen führen können und entsprechend auch eine aktive Krisenbewältigung benötigt. Nach der Detektions-Phase und den Reaktions-Phasen darauf – die je nach Schwere des Angriffes von wenigen Tagen und Wochen bis hin zu mehreren Monaten dauern können – bedarf es entsprechend auch einer Normalisierungsphase im Sinne von Abschluss und Krisenbewältigung.

Die Ergebnisse und die Empfehlungen der Handreichung zum Krisenmanagement nach Cyber-Angriffen ist in zwei online-Veranstaltungen vorgestellt worden und die rege Nachfrage hat gezeigt, dass das Thema brandaktuell ist. Aufgrund dessen wird HIS-HE weitere Studie dazu durchführen und wir planen eine weiterführende Veranstaltung im Juni 2024.

Die Handreichung ist veröffentlicht unter https://medien.his-he.de/publikationen/detail/krisenmanagement-nach-cyber-angriffen-handlungsempfehlungen

Weiterführende Informationen zum Thema sowie zur geplanten Veranstaltung finden Sie in unserem
Blog (https://blog.his-he.de/; ein Blogbeitrag dazu wird in den nächsten Tagen erscheinen) sowie auf
unserer Homepage (https://his-he.de/).

Kontakt:

HIS-Institut für Hochschulentwicklung
Geschäftsbereich Hochschulmanagement

Dr. Maren Lübcke
luebcke@his-he.de: 0151-62955162

Dr. Harald Gilch
gilch@his-he.de: 0174-8816073

Dr. Mathias Stein
stein@his-he.de; 0151-7264459