Nicht nur Forschungseinrichtungen, auch Schulen und Universitäten wie jüngst die Universität Zürich werden regelmässig zu Zielen von Hackerangriffen. 2021 hatten es die Hacker auf einige schweizerische Universitäten abgesehen. Gemäss Medienberichten wurden in mindestens einem Fall durch Phishing-E-Mails erfolgreich Lohnzahlungen in sechsstelliger Höhe abgezweigt. Im Sommer 2022 beispielsweise gab es einen Angriff auf eine Kantonsschule in der Stadt Zürich.
Laut einem Bericht der «Zeit» gibt es an jeder fünften Hochschule in Deutschland gravierende Sicherheitslücken. Hacker gelangen einfach an wichtige Daten zu Studierenden, Dozierenden, zu Prüfungs- und Forschungsergebnissen. Alles hoch sensibel, alles hoch vertraulich.
Schulen sind spezielle Orte
Über Sicherheitsmassnahmen und -erfahrungen spricht man auch an den schweizerischen Hochschulen und Universitäten nicht – genauso wenig wie in der Wirtschaft. Man verweist auf robuste Infrastrukturen, die trotz des im Vergleich zur Zeit von vor 2020 viel höheren Anteils an hybridem Unterricht und Blended Learning sehr sicher seien. Je nach aktueller Bedrohungslage treffe man dann jeweils die geeigneten technischen, personellen und organisatorischen Massnahmen.
Massnahmen müssten nicht nur beschlossen, sondern auch gelebt werden.
Neben direkten Angriffen durch Hacker auf die Server von Hochschulen und Universitäten gibt es viele weitere Varianten von sicherheitsgefährdenden Aktivitäten. So gab es Fälle, in denen Studierende einen schwunghaften weltweiten Handel mit raubkopierter Musik über die Uni-Server aufgezogen hatten. Eine Hochschule kam auf eine globale Blacklist, weil ein Student Spams über die eigenen Mailsysteme verschickt hatte. Gelegentlich gibt es auch Fehlalarme, weil ein Experiment im Security-Unterricht schiefläuft und ein Fehlalarm ausgelöst wird.
Laut den Berichten des Nationalen Zentrums für Cybersicherheit (NCSC) gibt es weitere Einfallstore. Beispielsweise wurden für Fälle von Fake Extortion, bei denen einer angeschriebenen Person massives Fehlverhalten vorgeworfen wird und bei denen eine Anklage nur mit einer Geldzahlung verhindert werden kann, häufig auch gehackte Konten von Studierenden von europäischen Universitäten verwendet. Grössere Angriffe auf die öffentliche Verwaltung legen gelegentlich auch den Online-Unterricht lahm. Und wenn ein Rechenzentrumsbetreiber Probleme hat, dann spüren das auch die Kundinnen und Kunden dieser Firmen.
Schulen und Universitäten gelten hinsichtlich der IT-Sicherheit laut Hannes Lubich, emeritierter Lehrstuhlinhaber für IT-Sicherheit an der Fachhochschule Nordwestschweiz (FHNW), als spezielle Einrichtungen: Die Umgebungen und Schnittstellen sind offen, es gibt für Studierende und Dozierende meist uneingeschränkte Zugänge, und «bring your own device» ist der Standard – womit die Sicherheit der Endgeräte buchstäblich in den Händen ihrer User liegt.
Alle müssen mitziehen
Hinzu kommt eine Vielzahl komplexer und voneinander unabhängiger Aktivitäten mit komplexen IT-Anforderungen. Oft gibt es laut Lubich fliessende Grenzen zwischen Basisbetrieb und Forschungsaktivitäten. Oft haben Hochschulen beziehungsweise Universitäten sehr versiertes, eigeninitiatives Personal mit weitreichenden Beschaffungskompetenzen, aber wenig Betriebsexpertise und wenig Know-how für die selbstbeschaffte Infrastruktur. Und oft sträuben sich die Mitarbeitenden an solchen Einrichtungen gegen zu viele Einschränkungen, die ihre Ursache in der IT haben.
Laut Lubich gibt es eine Reihe von rasch umsetzbaren Massnahmen. Dazu gehören beispielsweise die Festlegung spezieller «Sicherheitszonen, die Auslagerung bestimmter Sicherheitsfunktionen an vertrauenswürdige Einrichtungen» wie Switch, die Bereitstellung sicherer Dienste durch vertrauenswürdige zentrale Anbieter und die bessere Bekanntmachung solcher Dienste innerhalb der Schulen und Universitäten.
Die Ansagen auch umsetzen
Die Massnahmen müssten nicht nur beschlossen, sondern auch tatsächlich gelebt werden: Dazu gehören Minimalstandards zur Sicherheit, die Rollen von Arbeitsgruppen, das Einüben von Reaktionen bei erkannten und vermuteten Problemen sowie ein gemeinsames Verständnis für die Informationssicherheit zwischen allen Beteiligten.
Auch die Studierenden gehören dazu – der beste Hacker Deutschlands ist ein 16-jähriger Schüler. Er musste sich im Rahmen eines Wettbewerbs in die Systeme eines fiktiven Atomkraftwerkes hacken. Der Schüler schaffte das als Schnellster – in drei Stunden.