5911398

IT-Sicherheit nach Hackerangriff: Hochschulen sind Cyber-Freiwild

Der Hamburger Rechnungshof kritisiert Sicherheitsprobleme im IT-Bereich der Hochschulen. Die verweisen auf Personalprobleme beim IT-Personal.

Menschen sitzen am Rand einer Wiese vor einem Gebäude

Auch von hier aus sucht man nach dem raren Gut IT-Expert:in: Gebäude der HAW am Berliner Tor Foto: Paula Markert/HAW Hamburg

HAMBURG taz | Laut Hamburger Rechnungshof hat der IT-Bereich der sechs staatlichen Hochschulen ein erhebliches Sicherheitsproblem: Sie alle haben das Grundschutzkonzept des Bundesamts für Sicherheit in der Informationstechnologie nicht oder nur teilweise umgesetzt. Damit gehen sie ein Risiko ein, das sie zu potentiellen Opfern von Hackerangriffen macht: An der Hochschule für Angewandte Wissenschaften (HAW) können die 16.879 Studierenden und mehr als 1.400 Mitarbeitenden seit einem Cyber-Angriff im Dezember 2022 im „digitalen Lockdown“ ihre E-Mail-Hochschulkonten nicht nutzen, zwischenzeitlich kam es zu einem kompletten digitalen „Lockdown“, wie die Sprecherin der HAW, Katharina Jeorgakopulos, sagt.

Seitdem arbeitet sich die Hochschule in mühsamer Kleinarbeit zurück. Alle Daten und E-Mails müssen vor der weiteren Nutzung überprüft werden. Zur Attacke bekennt sich die Hackergruppe „Vice Society“. Ein Sprecher der HAW schreibt auf Anfrage der taz, dass inzwischen wesentliche IT-Bereiche wieder in Betrieb sind: Das Bewerbungsportal funktioniert wieder, auch das WLAN und die Telefonie konnten wieder in Betrieb genommen werden.

Glaubt man dem Rechnungshof, so war der Erfolg einer solchen Attacke absehbar: „Die bei der Einführung von IT-Verfahren erforderlichen Tests und Freigaben haben die Hochschulen nicht durchgeführt, was einen sicheren und verlässlichen Betrieb ebenfalls gefährdet“, heißt es im Jahresbericht. „Auch das für die Buchhaltung der Hochschulen eingesetzte SAP-Verfahren war nur unzureichend geschützt“.

Ein HAW-Mitarbeiter, der seinen Namen nicht in der Zeitung lesen möchte, sieht die Schuld bei der Politik. Es brauche mehr Stellen und diese müssen besser bezahlt werden. Die IT-Abteilung an der Hochschule sei unterbesetzt. Die Arbeitslast werde derzeit auf zu wenige Schultern verteilt. Außerdem seien die Stelle zu gering bezahlt. Potenzielle Arbeitnehmende würden sich eher für die Privatwirtschaft entscheiden – dort sei das Dreifache an Gehalt üblich.

Überlastung trotz neuer Stellen

Die Antwort des Hamburger Senats auf eine Kleine Anfrage der CDU bestätigt diesen Eindruck: Im IT-Departement der HAW arbeiten derzeit 40 Mitarbeitende. Acht Stellen bleiben unbesetzt. Weiter heißt es vom Senat: „Die HAW hat als Reaktion auf einen 2018 festgestellten personellen Mehrbedarf“ die personelle Ausstattung des IT-Service-Center „prioritär berücksichtigt und zusätzliche Stellen geschaffen“. Dennoch gab es Überlastungsanzeigen.

Zu wenig Personal hat offenbar auch die Universität Hamburg. Derzeit arbeiten über 115 Vollzeitbeschäftigte in deren Rechenzentrum. Doch die Stellen sind schwierig zu besetzen, wie der Sprecher des Hamburger Unipräsidenten, Alexander Lemonakis, auf taz-Anfrage schreibt: „Die Universität Hamburg sieht sich im IT-Bereich der Herausforderung gegenüber, Stellen im Rahmen des TV-L qualifiziert zu besetzen, da die Gehaltsschere zur Wirtschaft hier weit auseinander geht.“ Hinzu komme der allgemeine IT-Fachkräftemangel. Aktuell sind mehrere Stellen ausgeschrieben. In den kommenden Jahren will die Uni den IT-Bereich dennoch ausbauen, insbesondere die Informationssicherheit.

Laut HAW braucht es für eine Verbesserung der Situation vor allem eines – Geld, sprich „eine auskömmliche Finanzierung, um unsere IT-Infrastruktur zu erweitern und resilienter zu machen“. Nach der Schadenserhebung will die Hochschule das Gespräch mit der Wissenschaftsbehörde suchen. Die zeigt sich reserviert und verweist auf die Budgethoheit der Hochschulen. „Die Hochschulen verfügen über ein Globalbudget, über das sie frei und autonom ohne behördliche Einflussnahme verfügen. Dies umfasst auch Investitionen in die IT-Infrastrukturen.“

Hochschulen geben sich zuversichtlich

Trotz der schwierigen Personallage geben sich alle Hochschulen zuversichtlich, für künftige Hacker-Angriffe gewappnet zu sein: Die Sprecher von TU und des Präsidenten der Uni Hamburg verweisen auf Notfallpläne für einen solchen Fall. „Die Hamburger Hochschulen haben die eigenen Systeme aufgrund der ausgetauschten Erkenntnisse untersucht und tun dies auch weiterhin mit jeder neu aus dem Vorfall an der HAW gewonnenen Analyse“, schreibt Alexander Lemonakis von der Uni Hamburg.

Die Bedingungen für diese Aufbauarbeit scheinen nicht rosig. „Einzelne der vom Rechnungshof in Augenschein genommenen Technikräume waren in einem provisorischen und unprofessionellen Zustand“, heißt es nämlich in dessen Bericht. „Die Fragmentierung der IT-Aufgaben in den Hochschulen und die Mängel in der Aufgabenwahrnehmung zeigen, dass die Hochschulen stellenweise an die Grenzen dessen gelangen, was sie ordnungsgemäß erledigen können.“ Und schließlich: Keine der Hamburger Hochschule habe die Frage, ob es wirtschaftlich sei, weite Teile der IT-Aufgaben in eigener Regie zu erledigen, zufriedenstellend beantworten können.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Den ersten Beitrag schreiben

Geben Sie Ihren Kommentar hier ein