Im Verbund sicherer

sicherheit


Sicherheit durch Vernetzung und Austausch: Das HITS-IS unterstützt die bayerischen Hochschulen bei ihren Maßnahmen für IT- sowie Informationssicherheit und vertraut dabei auf Erfahrungen und Technik vom LRZ.

 

Sechs Sicherheitsvorfälle in zwei Jahren an bayerischen Hochschulen: Dabei wurden IT-Systeme lahmgelegt und Ransomware in Netze eingeschleust, mit dem Ziel Geld zu erpressen, an Forschungsdaten zu kommen oder diese zu zerstören. „Wir hatten Glück, dass nicht viel passiert ist“, sagt Christian Fötinger, Leiter des Hochschulübergreifenden IT-Servicecenter für Informationssicherheit (HITS-IS) an der Technischen Hochschule Augsburg. „Hochschulen werden zunehmend Ziele für Hackerangriffe, weil sie über interessante Daten verfügen.“ Deshalb bauen die rund 30 Hochschulen Bayerns gerade ihre IT-Sicherheit aus, das HITS IS fördert diese Entwicklung, bietet Unterstützung und Beratung an, erarbeitet IT-Services und koordiniert vor allem gemeinsames Vorgehen: Im Digitalverbund der bayerischen Hochschulen und durch den Austausch von Erfahrungen kann Sicherheit wachsen.

Den Notfall vorbereiten

Das Servicecenter wurde im Frühjahr 2022 von der Universität Augsburg, der Technischen Hochschule Augsburg und dem Leibniz-Rechenzentrum (LRZ) initiiert und wird in den ersten beiden Jahren vom bayerischen Staatsministerium für Wissenschaft und Kunst (StMWK) mit 400.000 Euro finanziert. Sechs von geplanten acht Sicherheitsexpert:innen arbeiten bereits in Augsburg und am LRZ an IT-Diensten wie Schwachstellen-Scans, um Verwundbarkeiten in Systemen und Netzen zu finden, entsprechenden Warnmeldungen und fundierten Hinweisen, wie diese Schwachstellen beseitigt werden können, außerdem an Notfallplänen und Backup-Strategien: „Ich bin zurzeit fürs HITS-IS viel unterwegs, treffe Beauftragte für Informationssicherheit von Hochschulen, diskutiere Schutzmaßnahmen oder informiere mich dazu auf Konferenzen“, erzählt der Informatiker Daniel Weber, der am LRZ für das Servicezentrum arbeitet.

Neben der Schwachstellenanalyse steht zudem die Mehrfaktoren-Authentifizierung auf der Agenda des HITS-IS: „Die Hochschulen sind technisch gut vorbereitet“, beobachtet Fötinger. „Es fehlt aber ein breiteres Spektrum, es geht ja nicht nur um die Abwehr von Angriffen, sondern auch um die Dokumentation von Strategien und Vorfällen.“ Das HITS-IS lenkt den Blick besonders auf Prävention und regt Hochschulen dazu an, mögliche Störfälle vorauszudenken, dafür Gegenmaßnahmen zu planen und diese für alle Beteiligten zu dokumentieren.

Gemeinsam Wissen aufbauen und nutzen

Bei den Treffen der IT-Sicherheitsbeauftragten sind daher die Erfahrungen gefragt, die das LRZ beim Aufbau mit seinem Management-System zur Informationssicherheit (ISMS) und im Umgang mit diesem Dokumentationstool gesammelt hat. „Wurde ein Notfall schon einmal durchgespielt und wurden die dabei entwickelten Prozesse dokumentiert, wissen alle, was der Reihe nach zu erledigen ist“, so Weber. „Sollten IT-Systeme dennoch einmal ausfallen, liefert das HITS-IS die Dienste, mit denen wenigstens die Kommunikation schnell wieder funktioniert.“

Während Unternehmen eigene Sicherheitsabteilungen zur Abwehr von Angriffen aufbauen, können IT-Verantwortliche bayerischer Hochschulen technische Aufgaben an das HITS-IS delegieren. Das LRZ und die beiden Augsburger Hochschulen haben bereits Technologien zur Überprüfung von IT-Systemen aufgebaut. Werden diese von vielen Organisationen genutzt, wächst mit den Daten automatisch das Wissen über mögliche Sicherheitsvorfälle und es können gemeinsam Lösungen entwickelt werden. Neben der praktischen Unterstützung und Schulungen plant das HITS IS gemeinsame Studien zu Themen wie Managed Firewalls, Automatisierung, Sicherheitstechnologien: „So sammeln wir noch mehr Informationen“, meint Fötinger, „die wir gemeinsam nutzen können.“ (vs)