„Hochschulen sind leichtes Ziel für Hacker“
Der Cybersecurity-Experte sagt, was die Heine-Uni so attraktiv für Hacker macht und was ihre Achillesferse ist.
DÜSSELDORF Immer wieder werden Hochschulen zum Opfer schwerer Cyberangriffe. Vor Kurzem traf es erneut die Heinrich-Heine-Universität (HHU): Hacker verschafften sich Zugriff auf das Prüfungssystem der Hochschule und auch auf sensible Daten von Studierenden. Okay Güler weiß, warum Hochschulen so attraktiv für Cyberkriminelle sind und was sie verwundbar macht: Er hat jahrelange Erfahrungen als „ethischer Hacker“, als jemand, der in fremde Systeme eindringt, um Sicherheitslücken aufzuspüren und den Betroffenen damit zu helfen, „sicherer“zu werden.
Herr Güler, warum stehen Hochschulen wie die HHU so im Visier von Hackern?
OKAY GÜLER Entscheidend für Hacker ist oft die einfache Frage: Wie viel Aufwand ist nötig und lohnt sich der Angriff? Im Fall der HHU oder ähnlicher Institutionen bieten sich Hackern wertvolle Ziele: personenbezogene Informationen von Studierenden und Mitarbeitenden und insbesondere Forschungsdaten und Finanzinformationen für den direkten Missbrauch oder zum Verkauf auf dem Schwarzmarkt. Zudem könnten Hacker annehmen, dass finanzielle und personelle Ressourcen an Hochschulen oft begrenzt sind, was sie zu einem einfachen Ziel für erfolgreiche Angriffe macht.
Wie einfach ist es für Hacker denn, wie an der HHU ins Prüfungssystem einzudringen oder wie davor in Mails des Uni-Kanzlers?
GÜLER In der Regel ist es eine Kombination mehrerer Sicherheitslücken oder fehlender Kontrollen, die solche Angriffe ermöglichen. Wie im vorherigen Fall an der HHU begann der Angriff mit dem Diebstahl von Zugängen, woraufhin eine bekannte Schwachstelle im Zielsystem ausgenutzt wurde. In vielen Fällen stellt der „Faktor Mensch“die entscheidende Achillesferse dar. Dies zeigt sich auch im Fall der HHU, wo die betroffenen Personen möglicherweise unzureichend auf Phishing-Angriffe vorbereitet waren, Schwachstellen im System nicht rechtzeitig erkannten oder beheben konnten und keine Multi-FaktorAuthentifizierung genutzt haben.
Können sich Hochschulen denn ganz vor Angriffen schützen?
GÜLER Das ist äußerst schwierig, da die IT-Welt sich in ständigem Wandel befindet und ein fortwährendes
Katz-und-Maus-Spiel stattfindet zwischen Cyberkriminellen, die kontinuierlich neue Wege suchen, Sicherheitsbarrieren zu durchbrechen, und Sicherheitsteams, die diese Angriffe abwehren und die Systeme schützen. Daher sollte das Hauptziel nicht die vollkommene Unverwundbarkeit sein, sondern das Design von Systemen und Daten so zu gestalten, dass sie trotz Angriffen resilient bleiben, damit der Schaden im Worst-Case-Szenario so
gering wie möglich gehalten wird.
Wie kann das gelingen?
GÜLER Zum Beispiel durch eine Kombination aus sogenannten präventiven und korrektiven technischen Kontrollen, etwa durch „Web Application Firewalls“, die Webanwendungen schützen, indem sie den Datenverkehr zu und von diesen Anwendungen filtern und überwachen und Angriffe blockieren. Oder durch Backups: Sie ermöglichen es einer Organisation, Daten nach einem Datenverlust durch Cyberangriffe, technische Störungen oder andere Ursachen wiederherzustellen.
Sind Hochschulen öfter Opfer von Cyberangriffen, als sie öffentlich bekannt geben?
GÜLER Öffentlich wird meist nur über jene Angriffe berichtet, die nicht rechtzeitig erkannt werden und erheblichen Schaden anrichten, wie etwa die Kompromittierung kritischer Systeme, den Verlust von personenbezogenen oder von Finanzdaten durch Ransomware, das Ausspähen von geistigem Eigentum oder Forschungsergebnissen. Unsere Website dient zwar nicht als Referenz, da sie weniger bekannt und verwendet wird als die Systeme der HHU, aber um eine Vorstellung davon zu geben, wie hoch solche Zahlen sein können: Wir registrieren monatlich über 200 potenzielle Angriffsversuche. Davon werden 95 Prozent von automatisierten Bots und fünf Prozent von menschlichen Angreifern verursacht.
Wie wird dabei vorgegangen? GÜLER Häufig wird automatisch nach älteren Softwareversionen, schlecht gesicherten Bereichen oder Ähnlichem gesucht. Ebenso finden regelmäßig Login-Versuche mit Standardpasswörtern oder Phishing-Mails mit Aufforderungen wie „Update your password for SystemXYZ“statt.
Von der zuständigen Landesbehörde für Datenschutz hieß es noch vor nicht allzu langer Zeit, dass Sie es an der HHU nicht für erforderlich erachtet, zum Beispiel Kontrollen vor Ort durchzuführen. Müsste sie strenger vorgehen?
GÜLER Sowohl die HHU als auch andere Hochschulen würden von einem strengeren, proaktiven Ansatz der Datenschutzbehörden profitieren. Regelmäßige, unabhängige Überprüfungen könnten dazu beitragen, das Vertrauen in die Sicherheitssysteme der Hochschulen zu stärken und die Wahrscheinlichkeit schwerwiegender Datenverluste oder -verletzungen zumindest zu reduzieren.
Wieso sind Sie ethischer Hacker geworden?
GÜLER Während meines Studiums entwickelte ich ein starkes Interesse daran, Systeme tiefgehend zu verstehen und zu lernen, wie man diese manipulieren oder für eigene Zwecke nutzen kann. Dann entwickelte sich das in eine „sportliche” Richtung: Ich wollte Systeme sicherer machen, sie vor Angriffen schützen. Dieser Wettbewerbsmodus bereitet mir eine Menge Spaß, auch wenn wir es oft mit Angreifern zu tun haben, die über deutlich mehr Ressourcen verfügen – sei es Zeit, Geld, Personal oder Skrupellosigkeit.