Die IT-Organisation ist für Forschungseinrichtungen eine besondere Herausforderung. Zwei Experten zeigen, wie sie sicher gestaltet werden kann.

Cyber-Angriffe auf Universitätskliniken, Forschungseinrichtungen und Universitäten gab es schon seit Anbeginn der IT-Vernetzung in den 80er Jahren. Sie haben in letzter Zeit aber hinsichtlich der Anzahl und Schwere der Folgen zugenommen. Beispiele sind die Angriffe auf die Universitäten Gießen, Maastricht, Bochum, Köln, aber auch auf Universitätsklinken und Hochleistungsrechner diverser Forschungseinrichtungen in den letzten 12 Monaten. In all diesen Fällen wurde der operative Betrieb durch Verschlüsselungsangriffe (Ransomware) massiv gestört.

Während das Ziel von Angreifern im Forschungsumfeld früher vor allem die Erregung von Aufmerksamkeit war, geht es heute eher um Handfestes: Professionell arbeitsteilig agierende Angreifergruppen versuchen, auch verstärkt bei Universitäten und Forschungseinrichtungen, wie zuvor schon bei Unternehmen, durch das Verschlüsseln von Daten auf den Systemen Lösegeld zu erzielen. Interessant für Angreifer, gerade bei Forschungseinrichtungen, ist auch die Entwendung geschützter Daten (Patientendaten oder Forschungsergebnisse) mit der Drohung, diese in einschlägigen Foren zu veröffentlichen, um so eine Zahlung zu erpressen. Auch die Rechenleistung auf Hochleistungsrechnern ist eine wertvolle Beute! Schließlich sind auch Forschungseinrichtungen zunehmend das Ziel von fremdstaatlicher Wirtschafts- beziehungsweise Wissenschaftsspionage. Betroffen sind davon nicht nur Hochtechnologie und Sicherheitsforschung, auch Sozialforschung kann, etwa wenn sie diskriminierte Minderheiten in diktatorischen Staaten betrifft, Ziel staatlicher Cyberspionage werden.

„Sind die Vorbereitungen abgeschlossen, erfolgt der eigentliche Angriff parallel auf möglichst vielen Systemen.“

Cyberangriffe sind meist sehr gut vorbereitet und laufen nach einem ähnlichen Muster ab: Zunächst wird versucht, über Phishing- E-Mails Schadsoftware zu installieren oder Accountdaten und Kennwörter für den Zugang zu IT-Systemen im Netz der Einrichtung zu erhalten. Ob das ein Webserver, Dateiserver, Mailserver, Konferenzsystem, Videoserver oder eine Lernplattform ist, macht keinen großen Unterschied. Solche Angriffe sind zunehmend gezielt auf bestimmte Einrichtungen, Personengruppen oder Einzelpersonen ausgerichtet. Prinzipiell kann jeder Nutzer-Account ein Einfallstor darstellen, besonders relevant sind jedoch jene mit vielen Privilegien beziehungsweise Administratorrechten, etwa in der Verwaltung. Sobald ein System gekapert ist, suchen Angreifer, von diesem ausgehend, gezielt nach Schwachstellen im IP-Netz, wie ungepatchte Domänencontroller, Anwendungsserver oder schwache Passwörter für Administratorzugänge. Sind diese eingerichtet, beginnt der finale Angriff: Im Falle von Erpressungsangriffen heißt das, Verschlüsselungssoftware im Netzwerk verteilen, Speichersysteme für den Verschlüsselungsangriff vorbereiten und gegebenenfalls Backups unbrauchbar machen. Sind diese Vorbereitungen abgeschlossen, erfolgt der eigentliche Angriff parallel auf möglichst vielen Systemen und eine Lösegeldforderung wird gestellt.

Forschungseinrichtungen und Universitäten werden zunehmend auch deshalb Opfer von Cyberangriffen, weil sie zum Teil leichter angreifbar sind, als andere Behörden und Großunternehmen. Dies liegt unter anderem an der Dezentralität und Autonomie ihrer Teilorganisationen, der Kultur der Offenheit und den zum Teil unzureichenden Möglichkeiten, Sicherheitsmaßnahmen durchzusetzen.

Was macht ein gutes Backup aus?

Angesichts dieser zunehmenden Bedrohungen müssen alle Universitäten und Forschungseinrichtungen Maßnahmen gegen Cyberangriffe ergreifen. Zuletzt wurde durch die rasante Umstellung auf das Home-Office die IT-Sicherheit auch teilweise zu Gunsten der Funktionalität ein wenig vernachlässigt. Auf Dauer können sich Hochschulen das nicht leisten.

Gegen einen Angriff mit Ransomware hilft ein gut geschütztes Backup, aus dem die betroffenen Systeme schnellstmöglich wiederhergestellt werden können. Dabei ist wichtig, dass diese Backups offline bleiben, was bedeutet, dass sie nur über ein besonders geschütztes Backup-System erreichbar sind. Backups auf Plattensystemen sind oft wertlos, weil sie bei einem erfolgreichen Angriff vom Angreifer einfach mitverschlüsselt werden. Außerdem muss sichergestellt sein, dass kritische Systeme so redundant betrieben werden, dass sie im Angriffsfall möglichst ohne Unterbrechung weiterlaufen können. Hier bieten sich synchronisierte Kopien dieser kritischen Systeme an, wobei die Kopien so lange offline bleiben, bis die originalen Systeme ausfallen. Mit virtuellen Infrastrukturen lässt sich so ein Konzept vergleichsweise einfach umsetzen.

„KI-basierte Systeme lösen im Verdachtsfall Alarme aus, die rund um die Uhr ausgewertet werden sollten.“

Wichtig für die Sicherheit im Netzwerk sind Intrusion Detection Systeme (IDS) und Security Information and Event Management (SIEM), die permanent Logdateien und Anwendungen überwachen, um verdächtige Aktionen anzuzeigen. KI-basierte Systeme lösen im Verdachtsfall Alarme aus, die rund um die Uhr ausgewertet werden sollten. Solche Systeme sind derzeit allerdings nur bei großen Forschungseinrichtungen und Universitäten im Einsatz oder im Aufbau, die ausreichend IT-Sicherheits-Fachpersonal und Ressourcen haben. Mittlere und kleinere, sowie wenig IT-affine Einrichtungen haben diese Möglichkeiten nicht und müssen auf Dienstleistungen zurückgreifen, wie sie vom DFNCERT angeboten oder aufgebaut werden.

Wichtig ist es auch Katastrophen- und Notfallpläne parat zu haben, um die Folgen möglicher Schäden zu begrenzen. Ebenso sind Monokulturen technischer IT- und Kommunikationssysteme möglichst zu vermeiden und Alternativen zu erhalten beziehungsweise zu schaffen. Gerade letzteres ist im universitären Umfeld teils schon von selbst gegeben, denn hier wirken sich die Dezentralität und Autonomie der Teileinrichtungen und der IT-Nutzenden auch positiv aus.

Da in der Forschung eine große Offenheit in der Kommunikation herrscht, reichen technische Maßnahmen zur Sicherung der Systeme allerdings in keinem Fall aus. Es werden technische Systeme ausprobiert und Sicherheit steht bei den Anwendenden meist nicht an erster Stelle. Deshalb ist es gerade hier nötig, Sensibilisierungsmaßnahmen und Schulungen zu den Risiken und zu Sicherheitsvorgaben durchzuführen. IT-Nutzende müssen sensibilisiert werden, wie sie selbst zum Opfer von IT-Angriffen werden können und motiviert werden, sich und andere durch aufmerksames und kritisches Verhalten gegen Cyberangriffe zu schützen. Aufmerksame und kritische Forschende sind die wichtigste Ressource, über die Forschungseinrichtungen und Universitäten zur Cybersicherheit verfügen!

Wer übernimmt welche Aufgaben in der IT-Sicherheit?

Organisatorisch gesehen benötigt jede Forschungseinrichtung einen IT-Sicherheitsprozess, der die organisatorischen und operativen Maßnahmen umfasst. In einer IT-Sicherheitspolitik sind Sicherheitsziele zu definieren. In einer Sicherheitsrichtlinie und in Sicherheitskonzepten sind wesentliche technische und organisatorische Vorgaben und Maßnahmen festzulegen. Dazu gehört zunächst einmal immer die Zuständigkeit für IT-Sicherheit zu regeln, was mindestens die Ernennung eines Beauftragten für IT- oder Informationssicherheit voraussetzt. Immer öfter werden aber auch Fachstellen wie IT-Sicherheitsmanagement-Team (SMT) oder Computer Emergency Respons Team (CERT) oder Security Operations Center (SOC) eingerichtet.

Zu den Aufgaben eines SMT gehören alle organisatorischen Maßnahmen wie:
• Entwicklung und Fortschreibung der IT-Sicherheitsrichtlinie
• Entwicklung und Fortschreibung von Handlungsempfehlungen
• Analyse und Bewertung der IT-Sicherheitsrisiken
• Schulung der Administrator(innen) und IT-Nutzer(innen)

Die Aufgaben eines CERT sind:
• Schulung der Administrator(innen) und IT-Nutzer(innen)
• Regelmäßige Sicherheitstests und –übungen
• Abwehr und Behandlung von IT-Sicherheitsvorfällen
• Reviews der IT-Sicherheitsmaßnahmen
• Betrieb eines SIEM

IT-Sicherheit wird in Forschungseinrichtungen, Universitäten und Kliniken häufig noch als Kostenfaktor oder Behinderung der Geschäftsprozesse verstanden. Solange kein Angriff erfolgt, ist das sicher richtig. Die Kosten eines Cyberangriffs, nicht nur die Lösegeldforderung, sondern auch der Reputationsschaden oder ausfallbedingte Kosten können jedoch deutlich höher sein, wie die spektakulären Cyberangriffe auf Universitäten zeigen. Insofern muss im Eigeninteresse, aber auch in Verantwortung für gegebenenfalls gefährdete Dritte, mehr für die IT- und Informationssicherheit getan werden.

Die Autoren: Prof. Dr. Udo Kebschull, Leiter des Hochschulrechenzentrums an der Goethe-Universität, und Dr. Ulrich Pordesch, Informationssicherheits-Koordinator der Fraunhofer Gesellschaft; beide haben diesen Artikel im Rahmen des Arbeitskreises Informationssicherheit der deutschen Forschungseinrichtungen (AKIF) (https://www.ak-if.de/) verfasst.

Dieser Artikel ist zuerst am 30. November 2020 auf der Website von Forschung & Lehre veröffentlicht worden.