Viele Wissenschaftler und wissenschaftliche Einrichtungen beschäftigen sich mit Fragen der Cybersicherheit. Aber wie sieht es umgekehrt mit der Cybersicherheit beim wissenschaftlichen Arbeiten aus? Schließlich sind mit dem Netz verbundene Computer selbst in den ältesten Buchwissenschaften ein unverzichtbares Werkzeug geworden.
Die Bundesregierung antwortete im vergangenen Jahr auf eine Kleine Anfrage der CDU/CSU-Fraktion, dass seit 2022 ihrer Kenntnis nach 36 verschiedene Hochschulen und Einrichtungen der Wissenschaft von Cyberangriffen betroffen waren. Stichtag der Abfrage ist hier der zehnte Juli 2024 und so kommt mindestens noch der erfolgreiche Angriff auf die Universität Potsdam vom Jahresende hinzu. Offensichtlich werden auch Hochschulen Opfer von Cyberangriffen.
Dies scheint vielleicht widersinnig, sind doch eigentlich Universitäten Bastionen des freien Denkens und offenen Austauschs. Die Karrieren der Wissenschaftler hängen gerade davon ab, dass sie ihre Erkenntnisse veröffentlichen und nachvollziehbar zeigen, wie diese zustande gekommen sind. Und wer meint, man könne zum Beispiel mithilfe einer Ransomware-Attacke von einer öffentlichen Hochschule Lösegeld erpressen, der kennt die Finanzierung von Hochschulen und ihre Verwaltung nicht. Was sollen dann solche Angriffe? Nicht umsonst heißt es doch, dass Wissen das einzige Gut sei, das sich vermehrt, wenn man es teilt. Kann man dann nicht auf Cybersicherheit verzichten?
Schatzkammern des Wissens
Empirisch zeigt sich, dass Hochschulen trotzdem angegriffen werden, so dass ein gewisses Maß an Cybersicherheit notwendig ist, um zumindest die Funktionsfähigkeit aufrecht zu erhalten. Dass es darum nicht gutsteht, haben zum Beispiel Eva Wolfangel und René Rehme gezeigt. Kaum eine Organisation ist so dezentral und freiheitlich organisiert wie eine Universität. Die Freiheit der Hochschullehrer ist sogar grundgesetzlich garantiert (Art. 5(3) GG). Das hat Auswirkungen auf die IT-Architektur und auf das Gebaren der einzelnen Wissenschaftler in Bezug auf Cybersicherheit. Neben der Hochschulverwaltung und den Wissenschaftlern gibt es zudem tausende Studierende, die mit ihren jeweiligen Endgeräten das Netz ihrer Hochschule nutzen wollen.
Man muss also feststellen, dass trotz der Kultur der Offenheit und dem Drang, alles öffentlich zu machen, die Bedrohung hoch und der Schutz oftmals unzureichend ist. Doch neben diesen organisatorischen und kulturellen Gründen für eine mangelnde Cybersicherheit an Hochschulen gibt es noch einen weiteren Grund, warum sie attraktive Ziele für Cyberangriffe sind. Universitäten und Forschungseinrichtungen sind Schatzkammern des Wissens, gefüllt mit einer Fülle sensibler Daten – von bahnbrechenden Forschungsergebnissen über persönliche Informationen von Studierenden bis hin zu vertraulichen Regierungs- und Industriekooperationen. Diese Datenvielfalt, gepaart mit der inhärenten Offenheit akademischer Netzwerke, macht Hochschulen zu einem attraktiven Ziel für kriminelle Hacker und Datendiebe.
Die Offenheit, die das Herzstück des akademischen Ethos bildet, erweist sich in Zeiten zunehmender Cyberkriminalität und internationaler Rivalität als zweischneidiges Schwert. Universitäten sind von Natur aus kollaborative Umgebungen, die auf den freien Austausch von Ideen und Informationen angewiesen sind. Tausende von Nutzern – Studierende, Forschende, Gastdozenten und externe Partner – greifen täglich auf die IT-Systeme zu. Diese Vielfalt und Fluktuation der Nutzer macht es extrem schwierig, ein kohärentes Sicherheitssystem zu implementieren.
Es braucht eine Kultur der Sicherheit
Doch die Bedrohung geht über simple Datendiebstähle hinaus. Ein besonders beunruhigendes Phänomen ist die zunehmende Wissenschaftsspionage. Ausländische Akteure, seien es staatliche oder nichtstaatliche, haben ein wachsendes Interesse an der Abschöpfung von Forschungsergebnissen für eigene, oft militärische Zwecke. Die Internationalisierung der Wissenschaft in den vergangenen Jahrzehnten hat zwar zu einem fruchtbaren globalen Austausch geführt, aber auch neue Einfallstore für solche Spionageaktivitäten geschaffen.
Angesichts dieser Bedrohungslage geht es darum, Sicherheitsmaßnahmen zu implementieren, die die Kernprinzipien der Wissenschaftsfreiheit nicht untergraben. Ein Schlüsselelement in diesem Balanceakt ist, ein Bewusstsein für Cybersicherheit in der gesamten Universitätsgemeinschaft zu schaffen. Es reicht nicht aus, lediglich technische Lösungen zu implementieren, die dann umgangen werden. Vielmehr muss eine Kultur der Sicherheit etabliert werden, die von der Hochschulleitung bis zum einzelnen Studierenden reicht. Dies beinhaltet regelmäßige Schulungen, klare Richtlinien für den Umgang mit sensiblen Daten und eine offene Kommunikation über potenzielle Risiken.
Gleichzeitig müssen Universitäten in robuste technische Infrastrukturen investieren. So kann eine konsequente Segmentierung der Netzwerke zwischen Hochschulverwaltung und Forschungsbetrieb dazu beitragen, im Falle eines Angriffs die Ausbreitung zu begrenzen. Zudem ist die Implementierung eines durchdachten Rollenkonzepts für Nutzer wichtig, um sicherzustellen, dass sensible Daten nur für diejenigen zugänglich sind, die sie tatsächlich benötigen. Veränderungen an Dateien und eine externe Speicherung sollte zudem protokolliert werden.
Mehr Zusammenarbeit mit Sicherheitsbehörden
Die Umsetzung umfassenden Sicherheitsmaßnahmen stellt viele Universitäten vor erhebliche finanzielle und personelle Herausforderungen. Oft konkurrieren Investitionen in die IT-Sicherheit mit anderen wichtigen Bereichen wie der Forschungsförderung oder der Verbesserung der Lehre. Hier sind kreative Lösungen gefragt, wie etwa die Bündelung von Ressourcen zwischen verschiedenen Hochschulen oder die Zusammenarbeit mit den eigenen Sicherheitsexperten der verschiedenen Fachbereiche. Vielleicht eignet sich das Thema gar zur forschenden Lehre.
Die Bewältigung der Cybersicherheitsherausforderungen erfordert auch eine bessere Zusammenarbeit und einen intensiveren Informationsaustausch zwischen Hochschulen und Sicherheitsbehörden. Auch das bedeutet einen Kulturwandel, weil gerade auf Seiten der Hochschulen traditionell eine Zurückhaltung besteht, was nicht zuletzt die Präsidentin der Alice-Salomon-Hochschule in Berlin peinlich demonstriert hat, als sie Präsenz der Polizei bei der Universitätsbesetzung als „bedrohlich“ bezeichnete. Auch im Informationsaustausch zwischen Hochschulen und Sicherheitsbehörden gilt der Grundsatz, dass das Teilen von Wissen einen Mehrwert schafft.
Die Universitäten stehen vor der Herausforderung, ihre traditionelle Rolle als Orte des freien Denkens und offenen Austauschs mit den Realitäten einer zunehmend feindseligen digitalen Umgebung in Einklang zu bringen. Es ist eine Gratwanderung zwischen Offenheit und Sicherheit, zwischen Kollaboration und Kontrolle. Doch es ist eine Herausforderung, der sich die Hochschulen stellen müssen, um die für sie aufgewandten Ressourcen zu rechtfertigen, den wissenschaftlichen Fortschritt zu schützen und ihren Bildungsauftrag zu erfüllen.
Tim Stuchtey ist geschäftsführender Direktor des Brandenburgischen Instituts für Gesellschaft und Sicherheit (BIGS).
In unserer Kolumnenreihe „Perspektiven“ kommentieren unsere Autor:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit.