Die TU Braunschweig ist ein beliebtes Ziel – auch für Hacker IT-Attacken auf Hochschulen häufen sich. Ein Gespräch mit dem Chief Information Security Officer, Dr. Christian Böttger.
Was haben die Universität Gießen, die Ruhr-Uni Bochum, die Universität Leipzig, die TU Berlin und weitere Hochschulen und Forschungszentren gemeinsam? Sie alle sind in jüngerer Zeit Opfer von massiven Hackerangriffen geworden. Zum Teil wurden zentrale Dienste für Monate lahmgelegt. Auch haben versierte Datendiebe personenbezogene Informationen von Hochschulen gestohlen und im Darknet, auf geheimen Plattformen, zum Kauf angeboten. „Viren im Goldrausch“ titelte die Frankfurter Allgemeine schon vor einem Jahr: „Hackerangriffe auf Universitäten legen eine Achillesferse nicht nur der Wissenschaft bloß. Wenn es schon keinen hundertprozentigen Schutz dagegen gibt, sollte man wenigstens das Mögliche tun“.
„Bei uns wird das schon nicht vorkommen“ ist jedenfalls keine geeignete Strategie, da sind sich Prof. Manfred Krafczyk, Vizepräsident für Digitalisierung und Technologietransfer, und Dr. Christian Böttger sicher. Krafczyk hat mit der neuen IT-Governance und der Einrichtung der neuen Stabsstelle die Grundlagen geschaffen, um die Universität in Zukunft bestmöglich zu schützen. Und Böttger ist seit fünf Monaten der neue „CISO“, der Chief Information Security Officer der TU Braunschweig. Er ist als Leiter der entsprechenden Stabsstelle direkt dem Präsidium unterstellt. „Tatsächlich haben wir in letzter Zeit schon mindestens zweimal einfach nur Glück gehabt, dass nichts Schlimmes passiert ist,“ sagt er. So haben Hacker vor wenigen Monaten eine Sicherheitslücke bei einem Groupware- und E-Mail-System ausgenutzt und sich damit auch Zugriff auf Rechner der TU Braunschweig verschafft. Zum Glück waren die Angreifer zuerst auf anderen Rechnern unterwegs, sodass die Lücke hier schnell noch geschlossen werden konnte. Das Gauß-IT-Zentrum musste aber einen Institutsserver ad hoc vom Netz nehmen, um den Übergriff zu verhindern.
Was Forschende nicht wissen und nicht wollen
Was vielen Forschenden nicht bewusst ist: Regelmäßig zu Semesterbeginn gibt es weltweit Versuche, über sogenannte Phishing-Mails Zugangsdaten abzufangen. Gezielt werden Forschungsergebnisse und –daten gesucht, die dann klug verwertet werden: Zum Beispiel für sicherheitsrelevante Technologien in Ländern, die unter Embargo stehen. Oder die eigenen Ergebnisse werden von Fremden in Fachmagazinen publiziert, sodass man selbst als Urheber leer ausgeht – gerade für viele Nachwuchsforschende ist das ein Desaster.
Universitäten sind beliebte Ziele von Attacken, da sie interessante Daten speichern und im Vergleich zu Unternehmen viel verletzlicher sind. Das Problem ist bekannt. Aufgabe des CISO ist es daher auch, den organisatorischen Rahmen mit Lösungen, Richtlinien und Notfallplänen zu aktualisieren. Dabei arbeitet er mit externen Expert*innen und Kolleg*innen an anderen Hochschulen zusammen. An der TU Braunschweig steht zunächst nicht die Technik, sondern stehen die Inhalte im Mittelpunkt. „Wir gehen von den Informationen aus,“ sagt Böttger. Und stellt dazu zunächst, gemeinsam mit den Nutzer*innen, Prioritätenlisten auf: Welche Informationen sind besonders wichtig? Wo befinden sie sich, und wie müssen sie geschützt werden?
Die dezentralste Universität in Deutschland
Und genau dort tauchen die Schwierigkeiten auf. Viele Institute und Einrichtungen haben eigene Arbeitsplatzrechner und betreiben eigene Server, die nicht zentral erfasst sind. So gibt es zwar ein Frühwarnsystem aus dem Hause des Deutschen Forschungsnetzes, das auch im Fall des Exchange-Angriffs zum Einsatz kam. Doch dies erfasst nur die zentral verorteten Prozesse. „In vielen Bereichen wissen wir weder, welche Daten es gibt, noch wo und wie sie verarbeitet werden. Wir sind, jedenfalls was die IT-Governance angeht, wohl die dezentralste Universität in Deutschland,“ sagt Böttger. Er wird in den nächsten vier Jahre ein Sicherheitsmanagementsystem aufbauen, das bestmöglichen Schutz bieten soll. Ein Ziel ist es, das Frühwarnsystem möglichst hochschulweit nutzbar zu machen, und wirksame Maßnahmen ergreifen zu können, wenn Gefahr im Verzug ist. Doch die technischen Maßnahmen sind nur ein Teil des Lösungspakets. „Wo immer Informationen von außen in unser System kommen, wird es Angriffsflächen geben,“ erläutert der CISO. „Zurzeit nutzen Hacker*innen vor allem E-Mails, es können aber auch Chatkanäle oder kollaborative Plattformen sein.“
Ein Klick auf den falschen Link
Mit den IT Security Days macht die TU Braunschweig darauf jährlich aufmerksam und will bei den Nutzer*innen ein Bewusstsein für die Verletzbarkeit ihrer Daten schaffen. „Überarbeitung, Zeitdruck, eine neue Masche: Jedem von uns kann es passieren, dass man einen gefährlichen Link anklickt,“ meint Böttger. „Daraus können wir nur lernen.“ Regelmäßig sendet das Gauß-IT-Zentrum unechte Phishing-Mails aus, um die Nutzer*innen anonym zu testen. Sechs bis sieben Prozent der Empfänger klicken die scheinbar gefährlichen Links an und geben ihre Zugangsdaten ein. Und damit steht die TU Braunschweig sogar noch gut da; der Durschnitt in Unternehmen liegt bei zehn Prozent. Beratungen und Schulungen gehören daher fest zum Programm des CISO. „Ich gehe in jede Organisationseinheit, um zu informieren und darüber zu reden,“ bietet Böttger an.
„In den nächsten vier Jahren werden etliche Prozesse, zentral und dezentral, angepasst werden müssen, um die TU Braunschweig ausreichend zu schützen“, so der CISO. „Es wird eine interessante Zeit werden, in der wir uns alle zusammentun müssen und schauen, wie wir das gemeinsam lösen.“
Zur Person: Dr. Christian Böttger
… ist seit Mai 2021 Chief Information Security Officer der TU Braunschweig. Zuvor war er seit 2016 im Gauß-IT-Zentrum für Informationssicherheitsmaßnahmen und Informationssicherheits-Awareness-Maßnahmen sowie für die Umsetzung der Datenschutz-Grundverordnung (DSGVO) verantwortlich. 20 Jahre lang hatte der Physiker da bereits als IT-Spezialist, Projektmanager und Teamleiter in der freien Wirtschaft gearbeitet, die Hälfte der Zeit als selbstständiger Consultant. Böttger hat an der TU Braunschweig studiert und am Institut für Metallphysik und nukleare Festkörperphysik promoviert.