Cybercrime: Was ist da an unseren Unis los? – 5 Thesen

Inhaltsverzeichnis

Mich erreichten in den letzten Tagen viele Fragen zu den Sicherheitsvorfällen an deutschen Universitäten, die ich nicht so richtig beantworten konnte. Denn zu den meisten Fragen gibt es so gut wie keine belastbaren Informationen. Aber ich möchte mich jetzt doch an ein paar Thesen versuchen, die dazu dienen können, weitere Diskussionen anzustoßen. Diese Gedanken zum Thema beruhen auf meinen eigenen – schon etwas länger zurückliegenden – Erfahrungen im Uni-Betrieb und Gesprächen mit IT- und Sicherheitsverantwortlichen aus diesem Bereich.

Eine Analyse von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Aktuell kümmert er sich vor allem um heise Security Pro.

• heise Security Pro

1. Unis sind einfache Ziele

Universitäten sind oft einfacher "zu hacken" als typische Unternehmen oder Institutionen. Das liegt an vielen, verschiedenen Faktoren. Ein wichtiger davon ist, dass die Nutzer in der Regel mehr Freiheiten genießen als etwa ein Angestellter, dem man via Dienstanweisung vorschreiben kann, was er womit und wie zu erledigen hat. Das wird sich auch nicht komplett abstellen lassen, ohne wichtige Güter wie die Freiheit der Lehre zu beschädigen. Hinzu kommen über Jahrzehnte gewachsene Strukturen, die heute nicht mehr zeitgemäß, aber auch nicht einfach verzichtbar sind.

2. Cybercrime-Trends

Im Schweinezyklus der Cybercrime-Ökonomie gibt es derzeit einen Trend weg von den High-Profile-Targets – dem "Big Game Hunting" – hin zu einfacheren Zielen. Das hat mit besseren Sicherheitsvorkehrungen bei den offensichtlich lukrativen Zielen zu tun, mit der sinkenden Zahlungsbereitschaft und den erfolgreichen Aktionen von Strafverfolgungsbehörden im Gefolge spektakulärer Cybercrime-Angriffe wie dem auf Colonial Pipelines. Da gab es mehrere Verhaftungen, beschlagnahmtes Krypto-Geld und andere Aktionen, die für sehr viel Unruhe im Cybercrime-Untergrund sorgten. In der Folge änderten viele Banden ihre Strategie und bevorzugen aktuell weniger aufwändige Raubzüge.

3. Es lohnt sich trotzdem

Unis sind zwar kein aussichtsreiches Ziel für Erpressung, denn sie zahlen in aller Regel kein Lösegeld für verschlüsselte oder gestohlene Daten. Doch es gibt dort durchaus Lohnenswertes. Das beginnt bei den Ressourcen wie der guten Internet-Anbindung (etwa für Spam- und DDoS-as-a-Service) und leistungsfähiger Hardware (Krypto-Miner) bis hin zu aktuellen Forschungsergebnissen. Die können sogar das Ziel von Auftragsspionage sein, die dann als herkömmliche Cybercrime mit Erpressung getarnt wird.

4. Schlagzeilen machen keine gute Statistik

Unis haben mehr Sichtbarkeit als die meisten Firmen. Das heißt, dass der aktuelle Eindruck, Universitäten seien überdurchschnittlich betroffen, auch durchaus täuschen kann. Während Unternehmen einen IT-Sicherheitsvorfall eventuell unter der Decke halten können, dürfte das Unis sehr schwerfallen. Und allein Zahl der unmittelbar Betroffenen und der Titel "Universität" machen das auch viel eher zu einem lohnenswerten Thema der Berichterstattung als eine 08/15-Firma aus dem Mittelstand, die es als eine von vielen auch erwischt hat.

5. Hausaufgaben

Ja, viele Unis haben in Bezug auf IT-Sicherheit ihre Hausaufgaben zu machen. Da muss – wie im Übrigen auch bei vielen mittelständischen Unternehmen – das Thema IT-Sicherheit höher priorisiert und auch mit entsprechenden Ressourcen versehen werden. Auch die Ansatzpunkte für die Verbesserung der IT-Sicherheit unterscheiden sich nicht wirklich von denen im Unternehmensumfeld. Das beginnt beim Schaffen von Gefahrenbewusstsein und geht hin bis zum systematischen Risiko-Management.

Was es nicht bedeuten kann, ist: "Jetzt alles richtig sicher machen" – im Sinne von: jedes potenzielle Risiko auszuschließen. Denn das würde alles lahmlegen. Und Studierende und Forschende brauchen besondere Freiräume. Schon deshalb sollten wir aus unseren Universitäten keine maximal abgeschotteten Hochsicherheitstrakte machen.

Viele dieser Gedanken sind das Resultat von Gesprächen und Diskussionen in der heise-Security-Pro-Comunity. Dort diskutieren IT-Security-Verantwortliche – übrigens auch aus Universitäten – aktuelle Probleme und wie man mit denen zielführend umgeht. Mehr Informationen zu heise Security Pro gibt es hier:

(ju)