G DATA / Cybersicherheit in Zahlen 2024
Die Hüterin
Sandra Heger ist eine CISO – Chief Information Security Officer. Im neuen Netzwerk Informationssicherheit der Hochschulen Nordrhein-Westfalens hilft sie, landesweit Daten und IT der Wissenschaftsbetriebe zu schützen. Zuvor verantwortlich an der Hochschule Ruhr West hat sie erfahren, wie wichtig das ist: Anfang 2023 konnten sie und ihr Team einen schweren Hackerangriff abwehren.
Als ich einen Interviewtermin mit Sandra Heger vereinbaren möchte, bekomme ich sehr schnell einen Eindruck von dem speziellen Mindset einer CISO: Obwohl ich mit meiner Mailadresse von brandeins anfrage und wir einen Tag später auch per Mobilnummer telefonieren, ruft sie noch einmal im Verlag in Hamburg an. Ob ein Beitrag über sie geplant sei und meine Anfrage tatsächlich von der Redaktion stamme? „Vertrauen ist gut, Kontrolle ist besser“, sagt eine Redensart. Sie wird meist dem russischen Revolutionär Lenin zugeschrieben. Nach dem ersten Kontakt mit Sandra Heger bin ich mir ziemlich sicher, dass Lenin den Satz während der Oktoberrevolution von seinem Chief Information Security Officer aufgeschnappt hat. „Es mag überskeptisch oder sogar leicht paranoid wirken, dass ich noch einmal nachgefragt habe“, sagt Sandra Heger, 34, mit einem vergnügten Lächeln, als wir uns ein paar Wochen später auf dem Campus der Hochschule Ruhr West in Mülheim treffen. „Aber wenn jemand hier persönlich vorbeikommen und mich ausfragen möchte, könnte das theoretisch auch dazu dienen, eventuelle Schwachstellen auszuspähen.“ Mail-Absender lassen sich tatsächlich fälschen, und ein paar Informationen über einen legitim klingenden Rechercheauftrag wären von jemandem, der Böses will, auch schnell zusammengegoogelt. So gesehen also keine Paranoia, sondern eine sinnvolle zusätzliche Sicherheitsstufe. Die man vielleicht viel öfter einziehen sollte. „Viele Phishing- oder Scam-Versuche ließen sich mit einem einzigen Anruf verhindern“, sagt Heger. „Einfach bei der Bank anrufen, die angeblich kurz davor ist, das Girokonto zu sperren. Natürlich nicht unter der Nummer, die in der Mail steht, sondern unter der von der Webseite der Bank.“
Einen offenen Campus effektiv einhegen
Das Berufsbild des Chief Information Security Officers ist vergleichsweise neu. Erst in den vergangenen zwei bis drei Jahrzehnten hat sich der Job zu einer zentralen Führungsaufgabe entwickelt, die weit über rein technische Aspekte hinausgeht. Meist denkt man an die Entwicklung und Implementierung von IT-Sicherheitsvorkehrungen, wenn von CISOs die Rede ist. An Schulungen, Firewalls (siehe Glossar) und nervende Erinnerungen, sein Passwort bitte nicht auf einem Post-it an den Büro- Monitor zu kleben. Aber den CISOs obliegt auch der Schutz physischer Dokumente und die generelle Frage, wie Räumlichkeiten abzusichern sind, in denen sich Dokumente befinden – ganz egal ob auf Papier oder auf Festplatten. Sandra Heger muss sich als CISO für Hochschulen beispielsweise auch um Klausuren Gedanken machen, die auf Papier geschrieben und aufbewahrt werden. Oder um den Zugang zu Hörsälen, Labors oder Archiven. „Eine Hochschule mit Studierenden, die kommen und gehen, ist ein sehr offenes Umfeld“, sagt sie. „Zumindest verglichen mit Firmen, die häufig gleich am Eingang eine Rezeption haben, die niemanden ohne Hausausweis oder bestätigten Termin reinlässt.“ Gleichzeitig gibt es aber auch Bereiche, in denen das Kommen und Gehen sehr streng geregelt werden muss: Labors beispielsweise, in denen hochsensible Forschung stattfindet oder ein leistungsstarker Laser herumsteht. Die CISO einer Hochschule ist also nicht nur dafür zuständig, nach welchem Standard die digitalen Backups verschlüsselt werden – sondern auch ganz banal dafür, wer welchen Schlüssel für welche Türen bekommt. Wenn sie Kindern erklären will, was sie beruflich macht, fragt sie die stets, ob sie Geheimnisse hätten. „Und Kinder haben natürlich alle Geheimnisse“, weiß Heger. „Ich erkläre ihnen dann, dass es mein Beruf ist, diese Geheimnisse von Menschen zu schützen und zu bewahren. Auch wenn das nur ein Teilbereich meiner Arbeit ist.“
„Genauer möchte ich es nicht sagen“ – nämlich wie die Angreifer am
31. Januar 2023 in die IT der Hochschule Ruhr West eingedrungen sind. Sicherheitsmanagerin Sandra Heger will niemanden auf Ideen bringen. Und erst recht nichts über ihre erfolgreiche Abwehrstrategie preisgeben.
Schlüssel und Verschlüsselung
Da der digitale Anteil unserer Geheimnisse ständig größer wird, haben die meisten CISOs einen IT-Hintergrund. Auch Sandra Heger hat Informatik studiert – und war damals in vielen Vorlesungen und Seminaren die einzige Frau. „Frauen sind in der Informatik immer noch eine große Ausnahme“, sagt sie. „Bei mir war ein Informatiklehrer in der Schule entscheidend. Er nahm mein Interesse an dem Fach ernst und ermutigte mich, es zu studieren.“ Sie startete ihre Karriere an der Hochschule Ruhr West zunächst im Campus-Management, „aber immer schon an den Schnittstellen von IT zu anderen Themen“. Informationssicherheit war damals – wie in vielen Organisationen – noch eine von mehreren Unteraufgaben der regulären IT-Administration. Als 2022 feststand, dass die Menge der Arbeit eine dezidierte CISO-Stelle rechtfertigt, fiel die Wahl auf Heger. „Als CISO hat man vor allem strategische Aufgaben“, sagt sie. „Wie setzen wir welche Sicherheitsstandards um, wie priorisieren und steuern wir einzelne Themen?“ Um die klassische Phishing-Mail oder die Rechner im PC-Pool der Hochschule kümmert sich nach wie vor die IT-Abteilung. Ihr Beruf erfordere vor allem gute Kommunikationsfähigkeiten und Fingerspitzengefühl: „An einer Hochschule, aber auch in Unternehmen hat man es als CISO mit extrem unterschiedlichen Gruppen zu tun, die teilweise ganz unterschiedliches Hintergrundwissen mitbringen.“ Alle gilt es mitzunehmen. Man muss von der Notwendigkeit von Schulungen also ebenso überzeugen können wie von wichtigen, aber häufig als umständlich wahrgenommenen Vorkehrungen wie der Zwei-Faktor-Authentifizierung. „Natürlich sind grundlegende IT-Kenntnisse wichtig“, sagt Heger, und das Informatik-Studium schade sicher nicht – es sei aber nicht zwingend Voraussetzung für die Position. „Gerade wenn es darum geht, Sicherheitsstandards umzusetzen, wie sie etwa vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder anderen Stellen kommen, hat die Position auch schnell etwas von klassischem Projektmanagement.“ Denn eines ist klar: Die Angriffe werden häufiger und ausgebuffter. Und sie sind längst nicht mehr hoch spezialisierten Hackern vorbehalten. Im Darknet kann man sich sofort einsatzfähige Ransomware-Sets bestellen, mit denen sich fremde Daten verschlüsseln lassen, wenn sie nicht gut genug abgesichert sind. Entschlüsselung dann nur gegen entsprechendes Lösegeld, gern in Bitcoin, beehren Sie uns bald wieder! Mit generativer KI lassen sich Phishing-Mails in einem Bruchteil der Zeit verfassen, und das ohne die üblichen verräterischen Fehler. Eine der neuesten Angriffsarten: Mithilfe von KI-Werkzeugen lässt sich die Stimme des CEOs oder eines Kollegen schon mit relativ wenig Ausgangsmaterial klonen. Dann folgt ein Anruf bei der Buchhaltung, bitte diesen oder jenen Betrag schnell anzuweisen. Oder die IT wird instruiert, die Firewall oder die Zwei-Faktor-Identifizierung für ein bestimmtes Gerät kurzzeitig zu deaktivieren, es gebe da ein kleines technisches Problem. Vertraute Stimme, künstlicher Zeitdruck – wer denkt, er würde darauf unter gar keinen Umständen hereinfallen, sollte sich besser nicht zu sicher sein. 2023 lagen die direkt durch Cyberangriffe verursachten gesamtwirtschaftlichen Schäden laut Erhebung des Branchenverbandes Bitkom bei 148 Milliarden Euro. 58 Prozent der deutschen Unternehmen gaben 2023 an, in den vorangegangenen zwölf Monaten Ziel eines Angriffs gewesen zu sein. Und: Mittlerweile ist bereits jede Hochschule in Nordrhein-Westfalen Opfer einer Cyberattacke geworden. Zwar ist nicht jeder Angriff erfolgreich, aber Hoffnung allein reicht als Verteidigungsmaßnahme ebenso wenig aus wie der Glaube, man sei als kleine Organisation doch gar nicht interessant genug für kriminelle Hacker.
GROSSANGRIFFE AUF HOCHSCHULEN
Hochschulen sind ein beliebtes Ziel von Cyberangriffen. Einige Beispiele aus den vergangenen Jahren.
Mai 2020
Die Ruhr-Universität Bochum wird Ziel eines Cyberangriffs, bei dem rund 60 Serversysteme verschlüsselt werden. Große Teile des Campus und der Verwaltung sind arbeitsunfähig, E-Mail-Kommu- nikation, Terminierung und Dateizugriffe sind nicht verfügbar. Auch zentrale Systeme der Personal-, Studierenden- und Finanzverwaltung sind betroffen.
Juni 2020
Einem Hacker gelingt es, die Server der School of Medicine der University of California San Francisco mit Ransomware zu verschlüsseln. Die Universität zahlt 1,14 Millionen Dollar Lösegeld, um wieder Zugriff auf ihre Daten zu erhalten.
April 2021
Aufgrund eines Angriffs auf die Systeme der Technischen Universität Berlin muss das komplette Netzwerk vorsorglich heruntergefahren werden.
September 2021
Bei einem Angriff mit Ransomware werden Festplatten des Leipziger Instituts für Medizinische Informatik, Statistik und Epidemiologie (IMISE) verschlüsselt.
November 2022
Angreifer legen mithilfe von Schadsoftware das komplette Telefon- und IT-System der Universität Duisburg-Essen lahm. Zudem werden Daten verschlüsselt und für die Entschlüsselung ein Lösegeld gefordert. Als die Universität nicht zahlt, werden einige der privaten Daten im Darknet veröffentlicht.
August 2023
Die University of Michigan wird Opfer eines Diebstahls von sensiblen persönlichen Daten von rund 230.000 Studierenden, Alumni, Patienten, Studienteilnehmenden und Mitarbeitenden – darunter Finanzinformationen und Gesundheitsdaten.
Februar 2024
Die Universitäten Manchester und Cambridge werden Opfer einer Denial-of-Service (DoS)-Attacke der Hackergruppe „Anonymous Sudan“. Die Gruppe hat bereits zahlreiche erfolgreiche Angriffe in aller Welt verübt und wird mit Russland in Verbindung gebracht.
März 2024
Die E-Klausuren-Plattform der Heinrich-Heine-Universität Düsseldorf wird gehackt. Neben Prüfungsfragen und -antworten werden 15.000 Datensätze von Studierenden sowie aus einem anderen Datensatz weitere 60.000 Nutzerdaten von Universitätsangestellten und Gästen erbeutet. Bereits im März 2023 waren rund 4.500 persönliche Datensätze durch unbefugten Zugriff gehackt worden.
Alarm im War Room
Wie schnell es gehen kann, erfuhr Sandra Heger am 31. Januar 2023. Das Datum kommt wie aus der Glasfaserleitung geschossen, als ich sie danach frage. „Den Tag vergesse ich so schnell nicht mehr“, sagt sie. Ein Mitarbeiter habe „verdächtiges Verhalten“ im System bemerkt. Dass das so vage klingt, ist Absicht. „Genauer möchte ich es nicht sagen“, sagt Heger diplomatisch. Sie will niemanden auf Ideen bringen – vor allem aber auch keine Einblicke gewähren, wie eine IT-Verteidigungsriege in solchen Fällen vorgeht. Was sie sagen kann: „Wir haben das Netzwerk der Hochschule vom Internet getrennt und begonnen, den Vorfall zu untersuchen“ – was keine Maßnahme sei, die man mal eben so ergreift, weil ein Drucker sich eigenartig verhält. Sie beauftragten dafür das „Incident Response Team“ von G DATA Advanced Analytics. Während die Spezialisten sofort mit der IT-Forensik begannen, passierten gleichzeitig sofort andere Dinge, erzählt Heger: „Der Krisenstab trat zusammen. Wir informierten die Hochschulangehörigen über den Vorfall und natürlich die Ermittlungsbehörden.“ Der Raum, in dem wir das Gespräch führen, ein Konferenzzimmer im dritten Stock mit Blick auf ein begrüntes Flachdach, wurde zum War Room umfunktioniert. „Hier saßen sechs bis acht Kolleginnen und Kollegen aus der IT, und es sah aus wie früher bei einer LAN-Party mit den ganzen Kabeln auf dem Tisch.“ Ein Gebäude weiter tagte unterdessen der Krisenstab mit Abgesandten aller Hochschulgruppen. Dort wurden zum einen Prioritäten gesetzt, also welche Systeme beispielsweise zuerst wieder in Betrieb genommen werden sollten. Zum anderen fand dort auch die Krisenkommunikation nach außen hin statt. Denn spätestens, als sich Hegers Team entschied, die Hochschule vom Netz zu nehmen, war klar, dass sich der Vorfall nicht diskret und im Hintergrund lösen ließ. Studierende, Belegschaft, Kooperationspartner, Kultusministerium – alle wollten und mussten wissen, was los war. „Die Präsidentin gab beispielsweise jeden Tag per Videobotschaft ein kurzes Update“, sagt Heger. „Das kam sehr gut an. Hier wiederum saß die IT, konnte die Tür zumachen und sagen: Stört uns einfach nicht bei unserer Arbeit.“ Es dauerte Tage, bis Hegers Team das Geschehen komplett rekonstruiert hatte und wirklich sicher war, den Angriff erfolgreich abgewehrt zu haben. Ein kompletter Reset aller Passwörter läutete danach so etwas wie eine erste Stufe der wiederhergestellten Normalität ein. Bis dahin vergingen jedoch Wochen. Das hing auch damit zusammen, dass das Team die Gelegenheit nutzte, ein paar grundsätzliche Änderungen in der IT-Infrastruktur vorzunehmen, die ohnehin geplant waren. „Ich kann natürlich nicht laut sagen, dass mir die Sache letztlich auch Spaß gemacht hat“, sagt Heger und sieht so aus, als sei genau das der Fall gewesen. „Aber es war auf jeden Fall eine interessante Zeit.“ Weil der Vorfall schnell entdeckt wurde und die Hochschule entschlossen gehandelt hatte, konnte Sandra Heger am Ende aufatmen, dass keine Daten „abgeflossen“ waren, wie man in der Branche sagt. Von den Tätern wurde nichts verschlüsselt, es gab keine Erpressungsversuche. „Aber es deutete alles darauf hin, dass es auf einen Ransomware-Angriff hinausgelaufen wäre“, sagt die CISO. Andere Hochschulen hatten weniger Glück: Die Universität Gießen beziffert den Schaden eines Angriffs im Jahr 2019 auf 1,7 Millionen Euro. Wenn eine Datenschutzverletzung vorliegt und Organisations- und Nutzerdaten im Darknet landen wie bei der Universität Duisburg-Essen Ende 2022 (siehe Kasten), ist der Schaden kaum noch zu beziffern. Ein Vorteil der Hochschule Ruhr West bei dem Angriff war ihre vergleichsweise zentralisierte IT-Architektur: „Je größer und älter eine Hochschule ist, desto dezentraler ist meist die IT organisiert“, sagt Heger. „Dann gibt es hier ein Rechenzentrum, da die Verwaltungs-IT, dort haben die Mathematiker ihr eigenes System und so weiter und so fort. Da ist teilweise über Jahrzehnte eine dezentrale Struktur entstanden, die es schwieriger macht, schnell und geschlossen zu reagieren.“ Auch Unternehmen hätten oft den Vorteil einer zentralisierten Architektur.
Routinen gegen den Ernstfall
Doch egal wie dramatisch solche Tage im Krisenmodus sein mögen – sie sind die Ausnahme für CISOs. Vieles ist Routine, Vorbereitung, Beratung, um zu verhindern, dass es überhaupt zum Ernstfall kommt. Einen typischen Tagesablauf hat es dennoch nicht gegeben, so Heger. Sie hat regelmäßig beobachtet, welche Software-Schwachstellen die InfoSec-Community entdeckte und wofür es bereits „Patches“ gab: Vor welchen Angriffswellen warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI)? Wie könnte das die Hochschule betreffen? Sie hat sich regelmäßig mit anderen CISOs ausgetauscht. Auf NRW-Ebene gibt es die Landesarbeitsgruppe Informationssicherheit, in der alle CISOs der NRW-Hochschulen mitwirken. „Hochschulen konkurrieren tendenziell weniger miteinander als Unternehmen aus einer Branche. Deshalb tauschen wir uns intensiv aus: Was funktioniert bei euch, was können wir übernehmen?“
Jetzt Netzwerkerin für ganz Nordrhein-Westfalen
Ihr Engagement als Mitglied im dort gewählten Sprecherteam dürfte sie auch auf ihren neuen Posten geführt haben: Seit Kurzem ist Heger aufgestiegen zur stellvertretenden Leiterin des Netzwerks Informationssicherheit der Hochschulen in NRW (NISHS.nrw). Ziel des Netzwerks, das gerade neu aufgebaut wird, ist es, die Informationssicherheit und den Datenschutz aller Hochschulen im Bundesland zu stärken. Dazu übernimmt es die Funktion einer Beratungs- und Koordinierungsstelle, um den Austausch zwischen den Wissenschaftsbetrieben zu för- dern und gemeinsame Projekte voranzubringen. Nordrhein-Westfalen folgt damit dem Vorbild anderer Bundesländer wie Bayern und Baden-Württemberg, die bereits zentrale Stellen für Cybersicherheit an Hochschulen aufgebaut haben. Sie werden von den Landesregierungen finanziert und unterstützen im Fall von Attacken. Sie halten zentrale Sicherheits-Tools bereit und koordinieren Rahmenverträge mit IT- Dienstleistenden. Zusätzlich baut das Deutsche Forschungsnetz (DFN), über dessen Glasfasernetz die meisten deutschen Hochschulen ihren Internetzugang beziehen, seine Sicherheitsdienst- leistungen für Hochschulen nach und nach weiter aus. „Man darf als CISO nicht darauf hoffen, irgendwann fertig zu sein“, sagt Sandra Heger, nach wichtigen Eigenschaften gefragt, die man für den Beruf mitbringen sollte. „Selbst wenn man ein Sicherheitsproblem gut gelöst hat – die Gegebenheiten ändern sich ständig, und es kommen immer wieder neue Angriffsvektoren dazu.“ Unter anderem darüber tauscht sie sich im bundesweiten Arbeitskreis Informationssicherheit der „Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung“ aus. Und man müsse damit umgehen können, große Verantwortung zu tragen, sagt Heger. Zwar liege die formal am Ende bei den Hochschulleitungen, „aber natürlich fühle ich mich dafür verantwortlich, dass unsere Informationen sicher sind“. Manche CISO-Kolleginnen und -Kollegen beklagen, mit ihren Warnungen (an denen oft auch die Budgets hängen), nicht ernst genommen zu werden. Das klassische Präventionsparadox: Solange alles gut abgesichert ist und nichts passiert, lässt sich der Schutz als Kostenfaktor leicht infrage stellen – genau deshalb, weil nichts passiert. Sandra Heger hatte dieses Problem mit ihrem früheren Arbeitgeber nicht. „Die Hochschulleitung hatte auch schon vor dem Angriff 2023 ein offenes Ohr für die Informationssicherheit“, sagt sie. „Wirklich darum kämpfen, sinnvolle Maßnahmen umsetzen zu können, musste ich zum Glück nie.“
Dieser Text stammt aus unserer Redaktion Corporate Publishing.