Es gibt Nachholbedarf bei der Cybersicherheit an unseren Hochschulen!
Soweit nichts Neues, denken wir nur an das Schicksal der Universität Duisburg-Essen, die Hochschule Hannover oder jüngst auch das Universitätsklinikum in Frankfurt. Die List der attackierten Hochschulen und Bildungseinrichtungen ist auch 2023 recht lang (https://konbriefing.com/de-topics/cyber-angriffe-universitaeten.html).
Der Bericht zeigt die vielseitigen und besonderen Herausforderungen der Hochschulen auf: ein großes Maß an Diversität an Belegschaft, Forschungsgemeinschaft und Studierendenschaft; eine heterogene und dezentral organisierte IT-Landschaft; und ein Mangel an organisatorischen Strukturen, um das Thema Cybersicherheit organisationsweit voranzubringen.
Diese Herausforderungen hatte ich bereits in meinem Blog-Post thematisiert: https://martin-kraemer.net/cybersicherheit-als-organisationsweiten-prozess-etablieren/. Es ist unabdingbar, die drei Kernelemente “People, Process and Technology” mit universitätseigenen Maßnahmen zur Bestärkung der Cybersicherheit zu vereinen.
Daher begrüße ich den Bericht des Wissenschaftsrats natürlich ganz besonders. Es werden ganz wesentliche Punkte angeführt.
- Die Stärkung der digitalen Selbstbefähigung von Wissenschaftseinrichtungen: Dazu müssen Steuerungsaufgaben auf der Leitungsebene verankert, das Risiko- und Problembewusstsein gefördert und notwendige Personalstrukturen aufgebaut werden.
- Dem folgt unmittelbar ein Handlungsbedarf im Bereich der Cybersicherheit von Wissenschaftseinrichtungen mit der Ernennung eines IT-Sicherheitsverantwortlichen und der Erstellung eines IT-Sicherheitskonzepts. Das Konzept muss unbedingt auch Notfallpläne umfassen.
- Die Situation an Hochschulen ist einzigartig und daher muss, müssen Kooperation und Vernetzung ausgebaut werden: Es gilt digitale Infrastrukturen und Dienste zu beschaffen, passende Beratungsangebote und Kompetenzzentren auf Landes- und Bundesebene zu etablieren und somit gemeinsam die Cybersicherheit zu stärken. Schlussendlich sind die Einrichtungen im Rahmen von Forschungsprojekten auf vielseitige Art und Weise vernetzt.
- Pluralität und Offenheit müssen bei der Auswahl und Gestaltung digitaler Angebote maßgebliche Faktoren sein: Dies betrifft Beschaffungs- und Vergabeprozesse, welche unabhängig vom Anbieter gestaltet werden müssen, öffentlich geförderte Infrastrukturen und Plattformen, die Verwendung von Open-Source Lösungen sowie die Nutzung des Know-how und Innovationspotenzial der Wissenschaft. Hier können Forschende selber Beträge leisten und somit aktive die Maßnahmen unterstützen.
- Die Gestaltung des digitalen Raums wird eine Daueraufgabe von Wissenschaftseinrichtungen bleiben. Es ist dringend notwendig, damit alsbald zu starten.
Die drei Grundpfeiler der Cybersicherheit müssen an den Hochschulen gezielt aufgebaut werden. Zunächst gibt es großen Nachholbedarf auf Prozess- und Technologieebene, wie den Empfehlungen zu entnehmen ist. Ein erfolgreiches Security Awareness Programm ist ebenfalls unabdingbar, um die menschliche Ebene zu adressieren, ist aber ohne die passenden Prozesse und Technologien zum Scheitern verurteilt. Die Schulung der Personen macht schließlich nur dann Sinn, wenn sichere Handlungsoptionen aufgezeigt werden können, die auch realistischerweise ausgeführt werden können. Gibt es beispielsweise keine Berichtswesen für Phishing-Emails macht auch eine Schulung zum Reporting keinen Sinn.
An den Hochschulen existiert zudem ein Ideenreichtum und tiefgreifend wissenschaftliche Erkenntnisse zur effektiven Umsetzung von Cybersicherheitsmaßnahmen, jedoch müssen Interdisziplinarität, Halbwertszeit und Vielseitigkeit der Herausforderung bedacht werden. Diese Faktoren können im Rahmen von Forschungsprojekten schwierig umzusetzen sein. Es müssen nachhaltige Prozesse etabliert werden. Dies kann sowohl die Erstellung von hauseigenem Material umfassen als auch den Rückgriff auf zugekauften Inhalten. Während eigenes Material dem Wiedererkennungswert und der Beziehungsebene bei der Vermittlung von Inhalten dient, ist die Vielseitigkeit und Qualität von professionell erstellten Schulungsinhalten oft höher. Auf die richtige Kombination von Inhalten kommt es an.
Diese Elemente spielen für das Engagement und die nachhaltige Motivation zur Beteiligung an der Security Awareness in den Hochschulen eine tragende Rolle, wie ich unter anderem auch hier thematisiert habe: https://blog.knowbe4.com/improve-security-awareness-higher-education
Dieser Post ist ein Kommentar zu den Empfehlungen zur Souveränität und Sicherheit der Wissenschaft im digitalen Raum (Drs. 1580-23) des Deutschen Wissenschaftsrats aus dem Oktober 2023: https://www.wissenschaftsrat.de/SharedDocs/Pressemitteilungen/DE/PM_2023/PM_2323.html