„Forschungsdaten ein lohnendes Ziel für Hacking“
Die Hochschulübergreifenden IT-Services präsentieren sich auf der it-sa 2024,
einer Messe und Konferenz rund um IT-Sicherheit in Nürnberg.
Messdaten, Auswertungen, Berechnungen, die Optimierung von vorhandenen Technologien oder Software: Wissenschaft und Forschung produzieren Daten, die auch für Unternehmen und Organisationen im Ausland attraktiv und lukrativ sind. Seit einigen Jahren sind die IT-Systeme von Hochschulen und Forschungseinrichtungen Ziele von Hacking- und anderen Angriffen. Die rund 40 Universitäten und Hochschulen in Bayern haben die Risiken erkannt, gehen gemeinsam dagegen vor und planen Schutzmaßnahmen inzwischen zusammen. Unter dem Dach des Digitalverbundes Bayern (DVB) haben sich die Hochschulübergreifenden IT-Services (HITS) gebildet, die inzwischen rund 15 Spezialistinnen beschäftigen: „Wir sind zwar eine zentrale Anlaufstelle aus Fachleuten rund um IT-Sicherheit, Recht und Beschaffung, arbeiten aber dezentral von fünf verschiedenen Standorten in Augsburg, Garching, München und Würzburg zusammen“, fasst Thomas Schkoda, Leiter des HITS Informationssicherheit (HITS IS), die Besonderheit der Arbeitsgruppen zusammen. Die HITS sind in die Schwerpunkte HITS Beschaffung, HITS IT-Recht und HITS IS gegliedert. Letzteres bildet mit zehn Mitarbeitenden die größte Einheit, die meisten von ihnen sind am Leibniz-Rechenzentrum (LRZ) stationiert, das ebenfalls hochschulübergreifend IT-Dienste und die dafür notwendige Infrastruktur wie Netze oder Server aufbaut. „Die HITS“, so beschreibt der Digitalverbund Aufgaben und Organisation, „fassen standardisierte Aufgaben zusammen und stellen Serviceleistungen zur Verfügung. Die Hochschulen entscheiden eigenverantwortlich über die Nutzung von IT-Services. Die Ausprägung der HITS kann kooperativer oder funktionaler, und die zu leistenden Aufgaben können sowohl operativer als auch konzeptioneller Art sein.“ Diplom-Ingenieur Schkoda leitet das HITS IS, sein Kollege, der Informatiker Daniel Weber, betreut die technischen IT-Services des HITS IS, beide präsentieren die HITS ab 22. Oktober auf der Nürnberger Messe für IT-Sicherheit it-sa und hier im Interview mit dem LRZ.
Was ist das Besondere an den Hochschulübergreifenden IT-Services oder HITS? Thomas Schkoda: Dass wir zwar eine zentrale Anlaufstelle aus Fachleuten rund um IT-Sicherheit, Recht und Beschaffung sind, aber dezentral von fünf verschiedenen Standorten in Augsburg, Garching, München und Würzburg arbeiten. Dabei sind die HITS in Schwerpunktaufgaben gegliedert, HITS IS sorgt für Informations- und IT-Sicherheit, HITS Beschaffung kauft zentral notwendige Hard- oder Software oder Dienstleistungen ein, damit vor allem kleinere Hochschulen und Institute von Skaleneffekten profitieren. HITS IT-Recht wiederum ist eine Stabsstelle und klärt anfallende Fragen rund um IT-Recht und Datenschutz. Daniel Weber: Die HITS zeichnet außerdem aus, dass wir abgestimmte Services zentral anbieten, die von unseren Kundinnen, also den Hochschulen und Forschungseinrichtungen, nach Bedarf angefordert werden.
Ihr präsentiert die HITS bei der Nürnberger Sicherheitsmesse it-sa – warum? Schkoda: Wir wollen unsere Erfahrungen mit IT-Sicherheits-Strategien und Maßnahmen aus dem Hochschulbereich mit anderen Institutionen teilen. Das Konstrukt HITS könnte für Verwaltungen oder andere Organisationen interessant sein, die so wie wir dezentral arbeiten. Wir organisieren uns vorwiegend virtuell und setzen Strategien und Maßnahmen bei Hochschulen um, die über ganz Bayern verstreut sind. Außerdem präsentieren wir uns auf der it-sa in Nürnberg als Arbeitgeber: Wir brauchen Verstärkung, aktuell suchen wir vom HITS IS zum Beispiel Beraterinnen für Sicherheitstechnik, für Managementsysteme für Informationssicherheit sowie für die Schulungen und Trainings.
Bekommen auch Studierende bei euch Chancen, arbeitet ihr beim HITS IS mit Hilfskräften? Daniel Weber: Zurzeit suchen wir bevorzugt nach Absolventen und Spezialistinnen, aber wir setzen auch auf studentische Hilfskräfte. Demnächst beginnt ein Informatik-Student von der Technischen Universität München bei uns, der sich auf IT-Sicherheit spezialisiert hat, und wir suchen noch jemanden, der die Sicherheit von Netzen spannend findet.
Seit 2023 gehören die drei HITS zum Digitalverbund Bayern. Was hat sich dadurch für euch geändert? Schkoda: Der Digitalverbund Bayern unterstützt uns bei Verwaltungsaufgaben organisiert außerdem den regelmäßigen Austausch zwischen den drei HITS und den Hochschulen – das ist eine große Hilfe. Weber: Der DVB sorgt außerdem für einheitliches Auftreten und fördert die Synergien. Vor Kurzem haben wir zum Beispiel die Postfächer vereinheitlicht, die HITS sind jetzt unter it-recht@ oder it-beschaffung@ oder eben informationssicherheit@digitalverbund.bayern erreichbar.
Beim HITS IS kümmert ihr euch um IT- und Informationssicherheit – wie stark sind Hochschulen und Forschungsinstitute denn von Hacking betroffen? Weber: Die Website KonBriefing.com registriert Sicherheitsvorfälle an Hochschulen und Forschungseinrichtungen weltweit und in Deutschland. Dort ist deren Zunahme gut dokumentiert. Bayerische Hochschulen sind zum Glück noch nicht so stark betroffen, wir haben folglich die Chance, uns vorzubereiten und Maßnahmen für den Incident Response zu planen. Schkoda: Forschungsdaten sind wertvoll und nützlich. Auch die Lageberichte der letzten beiden Jahre, die das Bundeskriminalamt vorlegte, bestätigen die Zunahme von Cyberangriffen und Sicherheitsvorfällen auf Forschungseinrichtungen.
Bei Cybersicherheit denken wir alle sofort an Kriminelle oder Malware, also an Angriffe von außen, aber gefährden nicht vor allem die User durch Anwendungsfehler die Daten- und Informationssicherheit?Schkoda: Tatsächlich ist bei uns auch der sorglose Umgang mit Daten ein großes Thema. Sie werden auf frei zugänglichen Speicherdiensten abgelegt, was wiederum den Datendiebstahl enorm vereinfacht. Das Bewusstsein, dass Forschungsdaten ein lohnendes Ziel für Hacking und andere Angreifer sind, muss sich in vielen Bereichen erst noch ausbilden. Daran arbeiten wir durch Schulungen und Veranstaltungen.
Welche Services zur Erhöhung der IT-Sicherheit bietet ihr den bayerischen Hochschulen und Forschungsinstituten an? Schkoda: Inzwischen haben wir ein breites Portfolio von organisatorischen und technischen Services aufgebaut. Wir entwickeln Konzepte zum Aufbau von Managementsystemen für Informationssicherheit oder zur Schulung von Mitarbeitenden und beraten Forschungseinrichtungen auch in diesen Themen. Weber: Schwachstellenscans gehören zu den technischen Services, die von den meisten Hochschulen gebucht wurden. Dafür untersuchen wir die öffentlich erreichbaren Netze einer Einrichtung auf mögliche Angriffspunkte oder nehmen einzelne Schwachstellen gründlicher ins Visier, damit Gegenmaßnahmen geplant und kommuniziert werden können. Wir wollen künftig außerdem noch Threatwatch-Berichte anbieten, die über neue oder forschungsrelevante Angriffstechniken aufklären und effektive Schutzmaßnahmen aufzeigen. Und schließlich planen wir praktische Maßnahmen für den Incident Response, dafür bauen wir gerade Notfallinfrastrukturen auf. Verliert zum Beispiel eine Hochschule durch einen Angriff den Zugriff auf ihre Exchange- oder Mail-Server oder auch ihre Website, soll sie von uns schnell Ersatz oder eine einfache Infrastruktur für die Kommunikation gestellt bekommen, um den Betrieb aufrecht zu erhalten und Nutzerinnen über den Status der Arbeiten informieren zu können.
Wie arbeitet ihr mit den Universitäten zusammen? Schkoda: Wir treffen uns zurzeit – virtuell oder persönlich – immer wieder mit den Beauftragten für Informationssicherheit oder IT-Verantwortlichen von Hochschulen und Forschungseinrichtungen, auch mit der Leitung von Universitätsrechenzentren und präsentieren unsere Dienste. Wer Services in Anspruch nimmt, wird für die gebuchten Dienste freigeschaltet, kann an regelmäßigen Online-Meetings teilnehmen oder bespricht mit uns, was wir verbessern und ändern könnten. Das ist ein unkompliziertes, einfaches, aber effizientes Miteinander. Weber: Praktisch gesehen wechseln sich Gruppenmeetings, in denen die Vertreterinnen mehrerer Einrichtungen und Hochschulen mit uns über IT-Sicherheit, mögliche Maßnahmen oder auch neue Dienstleistungen diskutieren, und Gespräche mit einzelnen IT-Verantwortlichen ab.
Wo können und sollten Forschende und Studierende selbst aktiv werden und mehr für die Sicherheit ihrer Daten tun? Weber: Sie sollten sich über Risiken und Ursachen von Datenverlust informieren, sich mit ihrem Email-Client vertraut machen, Spam aussortieren lassen und misstrauisch gegenüber Mail-Inhalten sein. Emails sind eine von Hackern bevorzugte, weil erfolgreich nutzbare Schwachstelle in Systemen, unter anderem machen sie inhaltlich Druck, damit Empfänger auf Links klicken oder eine Mail weiterreichen, um so Malware einzuschleusen oder sensible Daten abzugreifen. Anwenderinnen sollten außerdem ihre Zugangsdaten sehr gut schützen, um möglichst nicht auf der Liste kompromittierter Kennungen aufzutauchen – auch solche Zugänge sind Einfallstore, die Hacker entweder für sich selbst nutzen oder weiterverkaufen. Schkoda: Kennungen sollten durch vernünftige Passwörter geschützt werden. Außerdem sollten für unterschiedliche IT-Dienste verschiedene Passwörter verwendet und die Multi-Faktoren-Authentifizierung aktiviert werden. Dafür gibt es das Projekt BayernMFA, mit dem wir eng zusammenarbeiten.
Ihr präsentiert die HITS und seine Dienste auf der it-sa. Was erwartet ihr von der Messe rund um IT-Sicherheit? Schkoda: Also ich hoffe darauf, dass wir die eine oder andere Kandidatin für das HITS IS finden und Interesse wecken können für IT- und Informationssicherheit, nicht nur an Hochschulen.Weber: Ich hab‘ mich mit alten und neuen Kontakten verabredet, außerdem stehen einige Termine mit Anbietern von Sicherheitsprogrammen auf dem Plan, bei denen wir Funktionen und neue Features besprechen oder was wir noch verbessern können.
Und was sind eure Ziele für das HITS IS? Schkoda: Zufriedene Kunden ist das wichtigste Ziel, also, dass wir möglichst viele Hochschulen und Forschungseinrichtungen von unserer Arbeit, von den HITS und vom HITS IS überzeugen können und mit ihnen neue Dienstleistungen entwickeln können. Weber: Mein Ziel ist, im Verbund möglichst viele, praktische Lösungen für Sicherheitsfragen zu entwickeln, von denen alle Beteiligten profitieren und von denen wir lernen können. Mit jedem neuen Angriffsmuster machen wir Erfahrungen, lernen dazu und können durch das Teilen von Wissen, wir nennen das Cyber Threat Intelligence oder CTI, dafür sorgen, dass weitere Angriffe verhindert werden. (Interview: vs/LRZ)
Thomas Schkoda (links) und Daniel Weber vom HITS IS