IT-Sicherheit an Unis? Fehlanzeige!

Bild: Gerd Altmann / Pixabay.

WER "CYBERANGRIFF" zusammen mit "Hochschule" oder "Universität" googelt, erzielt eine deprimierende Auswahl an Treffern. Von gestohlenen Studierendenkonten in Düsseldorf über gesperrte Aufzüge in Frankfurt am Main bis zur Berliner Hochschule für Technik, die im Februar digital komplett von der Außenwelt abgeschnitten wurde.

Dass Wissenschaft und ihre Erkenntnisse relevant sind für Sicherheit und Souveränität der Bundesrepublik, gehört spätestens seit Russlands Angriff auf die Ukraine zu den Standardsätzen der Bundespolitik. Umso mehr erschrecken einige der Antworten des Bundesinnenministeriums auf eine Anfrage der CDU-/CSU-Bundestagsopposition.

Wie hoch die Zahl der Cyberangriffe auf Hochschulen und Wissenschaftseinrichtungen sei? Die Hochschulen seien aufgrund der föderalen Zuständigkeiten nicht zur Meldung an Bundesbehörden verpflichtet, daher erfasse die Bundesregierung die Angriffe nicht "systematisch" und könne zu den Hochschulen keine "umfassenden Auskünfte" geben.

Keine Meldepflicht

für Cyberangriffe

Doch auch bei den zu großen Teilen vom Bund finanzierten Forschungsorganisationen musste das Innenministerium einzeln nachfragen. Denn diese seien "grundsätzlich eigenständig für ihre IT-Sicherheit verantwortlich". Eine Meldepflicht an Bundesbehörden? Fehlanzeige. Die Daten zu Vorfällen, die das Innenministerium aus den Wissenschaftseinrichtungen zusammengetragen hat, beschreibt es selbst als kaum vergleichbar, weil jede Organisation ihre eigene Definition anwende.

Was aber weiß die Bundesregierung dann überhaupt? Zum Beispiel dieses: Dem Bundeskriminalamt seien seit 2022 insgesamt 42 Cyberangriffe in der Wissenschaft "bekannt geworden". Das Innenministerium spricht von 36 betroffenen Hochschulen und Wissenschaftseinrichtungen, wobei zwei gleich mehrmals angegriffen wurden, darunter die Universität der Bundeswehr in München (zwei Vorfälle seit 2022). Hauptursprungsländer der Attacken seien laut Verfassungsschutzbericht Russland, China und der Iran gewesen.

Hochschulen sollten als kritische

Infrastruktur definiert werden

Zahlten Wissenschaftseinrichtungen oder Hochschulen Lösegelder in Reaktion auf Cyberangriffe? "Der Bundesregierung liegen keine Informationen im Sinne der Fragestellung vor." Wie viele der Vorfälle wurden erfolgreich durch die Ermittlungsbehörden aufgeklärt? "Der Bundesregierung liegen dazu keine Daten vor."

"Die Bundesregierung hat weder ein Schadensbild, noch gibt es ein koordiniertes Vorgehen", kritisiert der CDU-Forschungspolitiker Thomas Jarzombek. Es fällt schwer, ihm in diesem Befund zu widersprechen. Den Verweis auf die Länderzuständigkeit nennt Jarzombek "eine Ausrede, denn im Rahmen des IT-Sicherheitsgesetzes wurden zahlreiche Organisationen in Hoheit von Ländern und Kommunen adressiert." 

Das IT-Sicherheitsgesetz schreibt kritischen Infrastrukturen genau definierte Meldepflichten und Sicherheitsmaßnahmen vor und bietet ihnen den "vertrauensvollen Informationsaustausch" mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Es sei an der Zeit, auch die Hochschulen hier einzubeziehen, sagt Jarzombek. Recht hat er. Allerdings stellt sich die Frage, warum das nicht schon geschehen ist, als 2021 das IT-Sicherheitsgesetz 2.0 verabschiedet wurde und sich Innen- und Forschungsministerium in Unionshand befanden.

Sei’s drum. Wissenschaftseinrichtungen sollten als kritische Infrastrukturen im besonderen öffentlichen Interesse definiert werden. Heute mehr denn je. Ahnungslosigkeit und Indifferenz passen nicht zu den markigen Zeitenwende-Botschaften der Ampelkoalition.

Dieser Kommentar erschien zuerst in meiner Kolume "Wiarda will's wissen" im Tagesspiegel.