Wesentliche Prozesse für die Cybersicherheit sind zur Absicherung von Organisationen notwendig. Hochschulen weltweit sind immer wieder Ziele von Cyberangriffen. Die Gründe dafür sind vielfältig, wie ich bereits hier berichtete. Normale Arbeitsabläufe sind in betroffenen Organisationen über Wochen hinweg nicht möglich. Dringend muss das Risiko künftiger Angriffe gemindert und Resilienz für Verteidigung und Wiederaufbau erworben werden. Es stellt sich also die Frage der Einordnung des Risikos von Cyberattacken auf Hochschulen. Wird das Risiko durch alle Beteiligten richtig verstanden und werden die richtigen Schlussfolgerungen gezogen? – Ob dem so ist, muss jede Institution für sich beantworten. Dieser Artikel fasst die wichtigsten Rahmenbedingungen, die notwendigsten Schritte und die Gründe zur Verbesserung der Cybersicherheit von Organisationen zusammen. Kurzum, warum und wie sollten Organisationen ihre „Cybersecurity Posture“ verbessern.
Die Herausforderungen sind erkannt
Bildungspolitik ist in Deutschland Landespolitik. So sind es sowohl die Hochschulen als auch die Länder, die schlussendlich den Erhalt von Sicherheit und Datenschutz gewährleisten müssen. In Baden-Württemberg gilt seit Mai 2017 die Verwaltungsvorschrift des Innenministeriums zur Informationssicherheit. Die ansässigen Hochschulen arbeiten zwecks Informationsaustausches zur Cyber-Abwehr zusammen.
Zugleich berichten Hochschulen immer wieder von ernst zu nehmenden Spear-Phishing-Attacken, die mehrmals im Monat auftreten. Die grundsätzliche Herausforderung, unterschiedliche Bereiche der Hochschule inklusive der zumeist eigenständigen Lehrstühle und Forschungsgruppen, der Verwaltung und der Studierendenschaft abzusichern, bleibt also. Diese Herausforderung wird auch als institutionelle Awareness für die IT-Sicherheit und gegenüber Social Engineering beschrieben. Durch die besondere Vielfalt an den Hochschulen gewinnt das Thema an zusätzlicher Komplexität. Grundsätzlich verschieden von Unternehmen, welche über Jahre hinweg organisch und anorganisch, d. h. auch durch Zukäufe entlang einer Wertschöpfungskette und in verschiedenen Ländern, gewachsen sind, ist es aber nicht. Auch an den Hochschulen gilt es grundlegende Prozesse zu etablieren und dabei verschiedene Arbeitsweisen diverser „Sub-Kulturen“ einzubinden.
Informationssicherheit muss als hochschulweiter Prozess etabliert werden
Alleine agierend, ist das Sicherheitsteam einer Institution dabei auf verlorenem Posten. Um besser auf Angriffe vorbereitet zu sein, müssen Hochschulleitung und Justiz einbezogen werden, sodass Informationssicherheit, Datenschutz und operative IT-Sicherheit an zentraler Stelle überblickt werden können. Hier braucht es dringende Akzeptanz der Informationssicherheit als Prozess, nicht als Projekt. Dies beginnt mit der Einstellung von CISOs, die als Manager agieren und deren Hauptaufgabe der Aufbau eines Teams zum Schutz der Institution ist. Diese Position muss mit Befugnissen und Ressourcen ausgestattet werden. Die bloße Benennung oder ein Mangel an Weisungsbefugnis werden der Cybersicherheit mehr schaden, als sie zu fördern. Das 2022 veröffentlichte IT Grundschutz Profil für Hochschulen detailliert diese Anforderungen.
Die Notwendigkeit zur strategischen Neuausrichtung der Cybersicherheit an den Hochschulen geht auch aus dem Bericht des Bayerischen Obersten Rechnungshofes aus dem Juli 2021 hervor. Viele Universitäten sind nicht ISO 27001 zertifiziert, haben teilweise keine CIOs und mehrere dezentrale IT-Haushalte. Diese strukturellen Mängel sollten dringendst auf Basis des IT-Grundschutzprofils angegangen werden. Dabei sind insbesondere auch die Sensibilisierung und Schulung der Mitarbeitenden als Maßnahme hervorzuheben. Im Jahr 2021 stellt der Bayerische Rechnungshof fest,
“Hochschulen haben zwar verstanden, dass die Sensibilisierung der Hochschulangehörigen wichtig ist, verfügen jedoch über wenig Erfahrung, welche Maßnahmen wie am besten eingesetzt werden, um die Information Security Awareness (ISA) zu erhöhen.”
Forschende an Hochschulen widmen sich dem Thema Sensibilisierung
Die Forschenden an den Hochschulen widmen Ihre Aufmerksamkeit dem Thema Security Awareness. Langjährige Erfahrung aus relevanten Forschungsbereichen bilden dabei die Grundlage, um gewonnene Erkenntnisse in die Praxis zu überführen. Dies geschieht oftmals im Rahmen von Outreach Aktivitäten, zunehmend aber auch auf Anfrage der IT-Sicherheitsfunktionen der Hochschulen. Beispielsweise werden die IT-Security Awareness Days an einigen deutschen Hochschulen seit mehreren Jahren durchgeführt. Gängig sind auch Informationsdatenbanken bzw. Informationsseiten der Hochschulen, wie zum Beispiel der Universität zu Köln, welche auf die Webseiten des BSI mit weiteren Informationen zum Thema Phishing verweist. Die Forschungsgruppe SECUSO am KIT hat ansprechende Erklärvideos im Rahmen eines Forschungsprojektes erarbeitet. Andernorts existiert eine Online-Datenbank zur spielerischen Wissensvermittlung. Solche Einzel- und Verbundmaßnahmen zur Sensibilisierung bilden eine wichtige Grundlage, dürfen aber nur der Anfang sein.
Das Bundesland NRW ist bemüht, die verfügbaren Materialien und bisherigen Vorgehensweisen durch eine adäquate Struktur zu bestärken und schreibt dazu den Aufbau eines Netzwerkes für Informationssicherheit aus. Derartige zentrale Beratungsstellen für den Informationsaustausch sind sehr zu begrüßen. Im Fall NRW ist bereits festgelegt, dass die Stelle auch bei der Auswahl von Awareness-Kampagnen und Schulungen beratend unterstützen soll.
Beim Schutz der Hochschulen von anderen Sektoren lernen
Security Awareness ist weder in der Forschung noch in der Privatwirtschaft ein neues Thema. Experten aus Wissenschaft und Wirtschaft haben über die letzten 15-20 Jahre eng zusammengearbeitet. Die Herausforderung, Menschen davon zu überzeugen mit Herz und Verstand zur Sicherheit von Organisationen beizutragen, bleibt jedoch die gleiche. Die in der Wirtschaft gewonnen Erfahrung bei der Implementierung verschiedener Ansätze sowie dazugehörige wissenschaftliche Erkenntnisse gilt es zu kombinieren.
Hochschulen können von Werkzeugen, Methoden und Materialien, die in der freien Wirtschaft verwendet werden, stark profitieren. Gleiches gilt für Unternehmen aus anderen Sektoren mit ähnlicher Maturität. Unternehmen, die im Bereich Cybersicherheit fortgeschritten sind, haben einen mehrstufigen Prozess durchlaufen. Viele begannen mit der Erstellung In-House produziertem Material, kauften bald auch vielfältiges und aktuelles Material dazu und begannen mit Phishing-Simulationen. Der Erfolg diese Maßnahmen sollte sodann anhand von Metriken nachvollzogen werden. Entscheidungsträger in Unternehmen nutzen diese Bausteine heute, um die Sicherheitskultur in ihren Organisationen aktiv zu gestalten.
Organisationen müssen Cybersicherheit als Prozess betrachten und ein essenzieller Bestandteil des Prozesses ist die fortwährende Ermächtigung von Mitarbeitenden. Die Cybersicherheit wird aber nur dann effektiv gesteigert, wenn diese Ermächtigung als Teil einer Maßnahme geschieht, die auch auf Prozesse und Werkzeuge abzielt. Die genannten Handreichungen der Aufsichtsbehörden, verfügbare Standards und in der Industrie reichhaltig verfügbares Wissen müssen dabei unbedingt einbezogen werden.
Die Hochschulen haben die einmalige Möglichkeit interne Expertise und extern verfügbare Ressourcen zu kombinieren, um gezielte Maßnahmen zu ergreifen – immerhin kann man auf die anwesenden Forschenden als Berater zurückgreifen. Zusammen muss vor allem auch der richtige Einsatz der Werkzeuge und Methoden diskutiert werden.
Auch dazu gibt es bereits Initiativen und Diskussionsgrundlagen, über die ich in einem künftigen Blogpost berichten werde.