Die Bewältigung von IT-Sicherheitsvorfällen an Hochschulen unterscheidet sich in mehreren Punkten von anderen Organisationen – insbesondere durch ihre dezentrale Struktur. Fakultäts- oder institutseigene IT-Abteilungen sind organisatorisch häufig nicht der zentralen IT unterstellt. Auch innerhalb zentraler IT-Einheiten bestehen mitunter unklare Weisungsbefugnisse, was im Krisenfall Abstimmungen erschwert – etwa bei der Anordnung von Überstunden oder der Umplanung von Ressourcen.
Zusätzlich erschweren interne Interessenkonflikte die Reaktionsfähigkeit. So kommt es immer wieder vor, dass sich einzelne Gruppen auf die Freiheit von Forschung- und Lehre berufen und keine “Einmischungen” von außen wollen. In der Folge halten sie sich nicht an verbindliche Sicherheitsstandards oder fordern administrative Rechte für ihren eigenen Bereich ein. Diese wiederum hebeln festgelegte Sicherheitsstandards aus.
Schon die Kompromittierung eines Teilbereichs kann bei schwacher Netzwerksegmentierung und weitreichenden AD-Verbindungen eine flächendeckende Reaktion erfordern – etwa durch Internettrennung oder Passwortzurücksetzungen für zehntausende Nutzerinnen und Nutzer sowie hunderte Systeme.
Im Gegensatz zur Privatwirtschaft sind Hochschulen an formale Beschaffungsprozesse gebunden. Spontan und kurzfristig Material zu bestellen oder Dienstleistungen zu beauftragen, ist in diesen Prozessen nicht vorgesehen. Jegliche Neuanschaffungen über einem bestimmten Wert müssen zudem ein Ausschreibungsverfahren durchlaufen, das mitunter Jahre dauern kann. Fehlen Notfallregelungen, halten sich Verwaltungseinheiten oft selbst im Krisenfall strikt an regulative Vorgaben. Dies kann zu erheblichen Verzögerungen führen, etwa bei der Beschaffung dringend benötigter Hardware oder Lizenzen. Diese werden teils innerhalb von Stunden oder Tagen benötigt. Wochen, Monate oder gar Jahre zu warten, ist hier keine Option.
Hinzu kommt: Die Wiederherstellung priorisierter Systeme hängt stark vom Zeitpunkt des Vorfalls ab – etwa bei nahenden Prüfungs- oder Einschreibeterminen. Incident Response Pläne sollten solche Abhängigkeiten berücksichtigen.
Zentrale Gegenmaßnahmen
Aus der Analyse der Vorfälle ergeben sich mehrere zentrale Maßnahmen, die Hochschulen helfen können, Angriffsflächen zu reduzieren und im Ernstfall handlungsfähig zu bleiben. Im Fokus stehen technische, organisatorische und strukturelle Verbesserungen, die sich an den besonderen Bedingungen des Hochschulbetriebs orientieren.
Zwei-Faktor-Authentifizierung für Remote-Zugänge: Der häufigste Einstiegspunkt in die Hochschul-IT waren kompromittierte Zugangsdaten. Daher ist die Absicherung aller externen Zugänge – insbesondere Virtual Private Network – durch Zwei-Faktor-Authentifizierung (2FA) zwingend erforderlich. Intern genutzte Dienste sollten ausschließlich über ein abgesichertes VPN erreichbar sein.
Da Geofencing bei international verteilten Nutzergruppen kaum praktikabel ist, bleibt 2FA die effektivste Maßnahme. Wenn ein flächendeckender Einsatz nicht sofort möglich ist, müssen besonders kritische Systeme vorrangig geschützt und Zugriffe stark eingeschränkt werden.
Patchmanagement: Bedrohungsakteure nutzten häufig bekannte Schwachstellen in öffentlich erreichbaren Systemen. Tools wie Shodan ermöglichen es Angreifern, solche Systeme automatisiert zu identifizieren.
Daher sollten Systeme mit Internetzugang bei der Patch-Reihenfolge Priorität erhalten. Ein vollständiges und sofortiges Patchen aller Systeme ist oft nicht realistisch – gezielte Priorisierung jedoch schon.
Netzwerksegmentierung: Eine wirksame Netzwerksegmentierung erschwert Angreifern die laterale Ausbreitung. Insbesondere kritische Systeme – etwa Domänencontroller, Backup-Server oder Management-Schnittstellen – dürfen nicht aus beliebigen Netzwerkbereichen erreichbar sein. Von einem normalen Arbeits-PC in einer Fakultät aus darf es keine Möglichkeit geben, auf ein kritisches System in der zentralen Verwaltung “durchzumarschieren”.
Empfehlenswert ist ein isoliertes Administrationsnetz, erreichbar nur über VPN mit 2FA. Alternativ können besonders gesicherte Jumpserver eingesetzt werden. Diese Maßnahmen lassen sich meist umsetzen, ohne reguläre Arbeitsabläufe zu stören.
Active Directory Design: Die AD-Struktur sollte so aufgebaut sein, dass Kompromittierungen auf Teilbereiche beschränkt bleiben. Dafür ist ein separates Verwaltungs-AD notwendig – getrennt von fakultätsbezogenen Instanzen. Systeme, die nicht den Sicherheitsvorgaben entsprechen, dürfen nicht ins AD aufgenommen werden. Eine Netzwerkzugangskontrolle (NAC) ist hier der Königsweg.
Privilegierte Konten sollten gestuft nach Sicherheitszonen eingesetzt werden (z. B. gemäß Microsofts „Enterprise Access Model“). So wird verhindert, dass Anmeldedaten hochprivilegierter Konten auf unsicheren Systemen landen. Auch Vertrauensstellungen zwischen ADs müssen kritisch geprüft werden – sie sind nicht automatisch sichere Grenzen.
Zentrale Incident-Response-Strukturen: In dezentralen Umgebungen ist eine zentrale Koordinierungsstelle essenziell – etwa ein CERT oder CSIRT mit klaren Befugnissen. Nur so lassen sich im Ernstfall Zuständigkeitsfragen vermeiden und Maßnahmen schnell einleiten.
Diese Einheit muss hochschulweit anerkannt sein und verbindlich handeln können, um beispielsweise eigenmächtig wiedervernetzte Systeme umgehend zu isolieren. Auch Weisungsbefugnisse im Krisenfall, etwa zu Wochenendarbeit oder Personalumbuchungen, müssen geregelt sein.
Incident Response Plan: Ein strukturierter Reaktionsplan ist Grundlage jeder effektiven Vorfallbewältigung. Und ein Business-Continuity-Ansatz, beispielsweise nach BSI 200-4, ergänzt den Plan durch Handbücher für verschiedene Krisenszenarien. Prozesse für Notfallbeschaffung sollten juristisch vorab geprüft sein, um im Ernstfall rechtssicher und ohne Verzögerung handeln zu können.
IT-Security-Personal: Hochschulen verfügen oft über vergleichsweise große IT-Abteilungen, aber nicht zwingend über ausreichend IT-Sicherheits-Fachkräfte. Ein spezialisiertes Team ist notwendig, um Bedrohungen zu erkennen, Maßnahmen umzusetzen und laufend sicherheitsrelevante Entwicklungen zu beobachten.
Falls internes Personal nicht ausreicht, sollte externe Unterstützung beauftragt oder eine Managed-Extended-Detection-and-Response-Lösung integriert werden.
Fazit
Hochschulen stehen beim Schutz ihrer IT-Infrastruktur vor besonderen Herausforderungen: Dezentrale Zuständigkeiten, vielfältige Systeme und eine große, dynamische Nutzerbasis erhöhen die Angriffsfläche deutlich.
Die analysierten Fälle zeigen: Eine koordinierte, vorbereitete Reaktion entscheidet über das Ausmaß des Schadens und die Wiederherstellungszeit. Hochschulen müssen deshalb nicht nur technisch nachrüsten, sondern auch ihre internen Strukturen und Entscheidungswege auf Krisenfälle ausrichten.
Nur mit einem kombinierten Ansatz aus Technik, Organisation und Prozessen lässt sich die Widerstandsfähigkeit gegen Cyberangriffe wirksam erhöhen.
