„Human Firewall“ gegen Hacker  [08.11.23]

Der Hohenheimer Campus komplett lahmgelegt durch Cyber-Kriminelle? Dieses Szenario ist längst keine abstrakte Gefahr mehr. Immer mehr Hochschulen werden zum Opfer von Hackerangriffen. Welche kriminellen Strukturen stecken dahinter? Wie wappnet sich die Uni? Und warum kommt den Uni-Angehörigen eine so wichtige Schlüsselrolle zu? Darüber berichtet der neue Leiter der Stabsstelle Informationssicherheit beim Kaffee mit dem Online-Kurier. Gelegenheit Michael Gitschel persönlich kennenzulernen, gibt es am 27. November beim Zoom-Talk „Hohenheim LIVE“.

-
Herr Gitschel, die Stelle des IT-Sicherheitsbeauftragten konnte wegen des Fachkräftemangels mehrere Jahre nicht besetzt werden. Mit Ihnen konnte die Uni nun einen ausgewiesen Experten gewinnen. Welche Erfahrungen bringen Sie mit?

Ursprünglich war ich 9 Jahre in der freien Wirtschaft als Berater zum Schwerpunkt IT-Sicherheit tätig. Während der Pandemie war mir die Arbeitssituation als Familienvater dort jedoch etwas zu unstetig. Ich wechselte daher als Quereinsteiger in den Polizeidienst, genauer gesagt ins Präsidium Technik, Logistik, Service der Polizei.

Als operativer Informationssicherheitsbeauftragter war ich bei der Autorisierten Stelle im Bereich Kommunikationstechnik für IT-Sicherheitsthemen des Digitalfunks in Baden-Württemberg zuständig. Sprich: Es ging um den Schutz der Kommunikation von Polizei, Rettungskräften, Feuerwehr oder des Technischen Hilfswerks. Der Digitalfunk in diesen Bereichen gehört zur kritischen Infrastruktur und muss deshalb besonders geschützt werden.

Das klingt spannend. Und was hat Sie an die vergleichsweise beschauliche Uni Hohenheim verschlagen?

Die Zeit im Polizeidienst war für mich in vieler Hinsicht eine tolle berufliche Erfahrung. Ein super Team, viele spannende Einblicke – und umgekehrt weiß ich nun auch, wie es sich anfühlt, wenn man selbst in höchster Sicherheitsstufe vom Verfassungsschutz durchleuchtet wird…

Lacht.

Trotz allem hatte ich das Gefühl, noch nicht am Ende meiner beruflichen Entwicklung zu sein. Obwohl das Einsatzgebiet als solches sehr interessant war, bot meine eigentliche Arbeit nicht allzu viel Abwechslung, da ich im operativen Dienst tätig war.

Die Leitung der Stabsstelle Informationssicherheit an der Uni Hohenheim war für mich genau die Herausforderung, die ich gesucht hatte. Mir gefällt, dass ich als IT-Sicherheitsbeauftragter hier wirklich das große Ganze im Blick habe und auch strategisch arbeiten kann.

Was würden Sie sagen ist das Besondere an der Uni, im Vergleich zu einem Unternehmen oder zur Arbeit bei der Polizei? Gab es da erstmal einen Kulturschock?

Lacht.

Oh je, jetzt bloß nichts Falsches sagen… Im Ernst: Es sind wirklich drei ganz unterschiedliche Arbeitskulturen. Aber darauf war ich ja durchaus vorbereitet.

Im Unternehmen gibt es vergleichsweise wenig äußere Vorgaben. Die Leitung lässt sich im Idealfall gut beraten und trifft dann Entscheidungen, die für alle verbindlich sind. Das erleichtert die Umsetzung eines IT-Sicherheitskonzepts natürlich.

Bei der Polizei war ich wiederum Teil eines hocheffizienten Teams, in dem jeder seine klar definierte Rolle hatte. Es gibt hier für alles eindeutige Richtlinien. Kreativer Gestaltungsspielraum ist also nicht angesagt. Bei Einsätzen wird nicht diskutiert, sondern umgesetzt.

Die Uni ist ein echter Gegenpol dazu: Entscheidungen werden in Gremien breit diskutiert. In etlichen Belangen agieren die Einrichtungen aber trotzdem eigenständig. Durch stetig wechselnde Forschungsprojekte gibt es außerdem sehr viel Dynamik und Fluktuation. Das alles führt im IT-Bereich zu einer Vielzahl an Systemen und verstreuten Verantwortlichkeiten.

Auch wenn ich die Uni-Welt persönlich sehr sympathisch finde, macht diese dezentrale Struktur meinen Job zu einer besonderen Herausforderung.

Können Sie an einem Beispiel erklären, wie Sie das meinen?

Es fängt bei der Hardware-Beschaffung an. Nur im Bereich der Verwaltung gibt es dafür einen zentralen Prozess. Forschungseinrichtungen können ihre technischen Geräte hingegen weitgehend nach eigenen Bedürfnissen auswählen. Geht man durch Büros und Labore der Institute findet man alles: Von der kostengünstigen China-Ware bis zum High-End-Produkt in Spezialausfertigung.

Dieser Wildwuchs mag vor einigen Jahren noch vergleichsweise unproblematisch gewesen sein. Heute haben sehr viele Geräten jedoch eine Internet-Schnittstelle. Das heißt: Jedes einzelne Gerät wird somit auch zum potenziellen Einfallstor für Hacker.

Mein Eindruck ist: Das Risiko-Bewusstsein diesbezüglich hat sich in der Breite noch nicht durchgesetzt. Häufig fällt die Entscheidung aus Kostengründen auf billige Modelle, die keinen Sicherheitsupdates etc. bieten. Das kann uns im Zweifel jedoch allen zum Verhängnis werden.

Stichwort „Hacker-Angriffe“: Die Gefahr ist ja längst nicht mehr abstrakt. In den letzten zwei Jahre wurden immer mehr Unis zum Opfer und waren teilweise mehrere Tage komplett offline. Wie groß schätzen Sie diese Gefahr für Hohenheim ein?

Natürlich versuchen wir uns zu wappnen. Doch um ehrlich zu sein: Ich denke, es stellt sich weniger die Frage, ob so etwas auch bei uns passieren könnte, sondern eher wann. Wir arbeiten deshalb auch an einer Notfall-Strategie, damit wir im Ernstfall schnell und zielgerichtet handeln können.

Neben allen potenziellen technischen Sicherheitslücken bleibt der Faktor Mensch das größte Risiko. Laut Bundesamt für Informationssicherheit beginnen 91% der erfolgreichen Hacker-Angriffe mit einer achtlos angeklickten Phishing-Mail.

Umgekehrt heißt das aber auch: Wir haben hier ein sehr machtvolles Instrument, um Hacker auszubremsen: Das Wissen und das Bewusstsein unserer Beschäftigten! Ich formuliere es gerne so: Mein wichtigstes Ziel für die kommenden Jahre ist, an der Uni Hohenheim eine „Human Firewall“ zu etablieren.

Was ist in diesem Zusammenhang Ihre wichtigste Botschaft an die Uni-Angehörigen?

Meine wichtigste Botschaft lautet: Fehler sind menschlich! Es reißt Ihnen niemand den Kopf ab, wenn Sie aus Versehen auf einen problematischen Link geklickt haben und erst im Nachhinein feststellen, dass etwas daran dubios ist.

Das echte Problem beginnt danach. Nämlich dann, wenn Sie aus falscher Scham heraus untätig bleiben oder gar versuchen den Fehler zu vertuschen.

Wenn auf den ersten Anschein hin nichts Schlimmes passiert, bedeutet das leider keine Entwarnung. Hacker bewegen sich für gewöhnlich monatelang verborgen in den Systemen, die sie knacken wollen. Erst wenn sie alles in Ruhe ausgespäht und minutiös geplant haben, schlagen sie mit voller Wucht zu.

Die richtige Reaktion ist also: Greifen Sie sofort zum Telefon und rufen mich an, wenn Ihnen etwas verdächtig vorkommt. Gemeinsam gehen wir dann der Sache nach. Wenn es Fehlalarm war, können Sie sich anschließend beruhigt zurücklehnen. Im Ernstfall aber zählt jede Minute!

Warum sind Unis denn in letzter Zeit überhaupt so stark ins Visier von Hackern geraten? Lösegeld dürfte hier ja nicht zu holen sein…

Das ist eine gute Frage! Ich muss dazu aber ein klein wenig ausholen, denn die Schattenwirtschaft der Cyberkriminalität ist sehr komplex.

Viele stellen sich den typischen Hacker ja immer noch wie einen zurückgezogenen Jugendlichen vor, der unterm Dachboden der Eltern heimlich seine illegalen Spielchen treibt. Die Realität sieht aber völlig anders aus: Wir haben es mit einer hochprofessionellen „Branche“ zu tun, die global agiert und extrem vernetzt vorgeht. 2022 wurde mit Ransomware weltweit ein Betrag von 220 Milliarden Euro ergaunert.

Es gibt Spezialist:innen, die Schadsoftware entwickeln, und andere, die sie tarnen. Wieder andere, kümmern sich um Updates, damit Trojaner den Viren-Scannern immer einen Schritt voraus bleiben. Es gibt auch Kriminelle, die sich auf den Handel mit geklauten Daten spezialisiert haben. Oder solche, die nichts Anderes tun, als nach einem Hackerangriff die digitalen Spuren schnell und effizient zu verwischen.

Wer ein bestimmtes Ziel verfolgt, muss selbst nicht über besondere Fähigkeiten verfügen, sondern kann sich im Darknet ein Team aus „Freelancern“ zusammenstellen. Man kann sich das tatsächlich vorstellen wie ein Dienstleistungsportal: mit Sterne-Bewertungen, Referenzen und Rezensionen, die auch über den Preis entscheiden. Man spricht in diesem Zusammenhang von „Cybercrime as a service“.

Das ist ja wirklich erschreckend. Und wie kommen die Unis ins Spiel?

Ich kann mir vorstellen, dass Unis ein wunderbares Trainingsgelände für Nachwuchs-Hacker sind. Denn wir haben einerseits eine große Vielfalt an komplexen Systemen, die andererseits jedoch vergleichsweise schlecht geschützt sind. Und jeder öffentlichkeitswirksame Hack ist natürlich auch gut für die eigene Reputation. So ein lahmgelegter Campus ist sicherlich eine prima Referenz für künftige Aufträge.

Darüber hinaus gibt es in den Uni-Netzwerken natürlich auch eine Menge Daten abzugreifen, die sich potenziell zu Geld machen lassen. Angefangen von den E-Mail-Accounts der Beschäftigten und Studierenden, die zum Versenden vom Spam missbraucht werden können, bis hin zu sensiblen Forschungsdaten.

Dabei gilt: Jeder Blick hinter die Kulissen, den Hacker bekommen, ist einer zu viel. Denn damit wächst unter Umständen auch die Gefahr komplexerer Angriffe in der Zukunft. Stellen sie sich vor, alle Hochschulen in Baden-Württemberg würden eines Tages gleichzeitig lahmgelegt. Das wäre durchaus ein messbarer volkswirtschaftlicher Schaden.

So ein digitaler Katastrophenfall mag heute vielleicht noch im Bereich der Verschwörungstheorien liegen. Sicher ist aber, dass wir mit fortschreitender Digitalisierung und neuen Technologien auch neue Formen der Kriminalität erleben werden. Ich prophezeie: Wir stehen erst am Anfang dieser Entwicklung.

Apropos neue Technologien: Wie wirken sich denn z.B. die neusten Entwicklungen im Bereich der künstlichen Intelligenz auf die Gefährdungslage aus?

Generative KI wird von Cyber-Kriminellen längst schon rege genutzt. Zum Beispiel um Schadsoftware stetig leicht zu modifizieren, damit sie möglichst lange unerkannt bleibt. Das läuft völlig automatisch.

Auf der anderen Seite wird KI aber auch zunehmend von „den Guten“ genutzt, um Cyber-Kriminellen auf die Spur zu kommen. KI kann verdächtige Aktivitäten zum Teil sogar besser erkennen als Menschen – und das praktischerweise rund um die Uhr. Also auch dann, wenn ich oder die KIM-Kolleg:innen im Feierabend sind.

Dieses Vorgehen wird künftig der Standard im Bereich Informationssicherheit sein. Und ich halte es für geboten, dass auch wir diese Technologien eher früher als später zum Schutz der Hohenheimer IT-Systeme einsetzen. Es gibt aber noch einigen Abstimmungsbedarf.

Welche Projekte beschäftigen Sie aktuell noch?

Lacht.

Oh je, diese Liste ist lang… Die Arbeit wird mir definitiv nie ausgehen.

Ein wichtiger Meilenstein ist jetzt erstmal die Verabschiedung einer Hohenheimer Leitlinie zur Informationssicherheit, die uns eine Richtung und Prioritäten für die nächste Zeit vorgibt und uns hilft, gemeinsame Standards festzulegen. Die Abstimmung dazu ist in den letzten Zügen.

Die Richtlinie an sich ist relativ übersichtlich. Doch es steckt mehr Arbeit darin als man vermuten möchte. Denn natürlich breiten wir die Details unserer Sicherheitsarchitektur nicht in einem öffentlichen Dokument aus. Die Leitlinie ist deshalb nur die Basis zahlreicher weiterer nicht-öffentlicher Regelungen und Konzepte, die Schritt für Schritt ergänzt werden.

Ein weiteres Projekt, das mir sehr am Herzen liegt, habe ich vorhin schon erwähnt: Die Sache mit der „Human Firewall“ ist mir tatsächlich ernst! Wir müssen es schaffen, den Wissenstand und das Bewusstsein in der gesamten Uni-Belegschaft auf ein neues Level zu bringen.

Neben speziellen Schulungen denke ich dabei auch an qualitativ hochwertige Online-Module. Und warum haben wir eigentlich in allen Räumen Aushänge zum Verhalten im Brandfall, aber keine zum richtigen Verhalten bei einem IT-Sicherheitsvorfall? Es gibt also noch eine Menge zu tun…

Am 27. November bin ich auf Einladung des Rektors übrigens auch zu Gast in der Reihe „Hohenheim LIVE“. Das ist für mich eine wertvolle Gelegenheit, um mit Uni-Angehörigen ins Gespräch zu kommen. Natürlich stehe ich dort auch bereit für Fragen. Alle Beschäftigten und Studierenden sind herzlich zur Zoom-Veranstaltung eingeladen.

Wir werden berichten! Vielen Dank für das Gespräch.

Interview: Leonhardmair