SRH Jahresbericht 2023 - Bericht - Seite 111
Ein hoher Digitalisierungsgrad birgt auch Gefahren. Das hat die SRH vor drei
Jahren schmerzhaft erleben müssen. In letzter Zeit sind besonders Bildungseinrichtungen von Cyberattacken betroffen. Warum ist das so?
Patrick Mombaur: Bildungseinrichtungen und Hochschulen – und direkt danach
auch Gesundheitsunternehmen – stehen schon lange im Fokus von Cyberkriminellen. Warum ist das so? Ich denke, da kommen zwei Faktoren zusammen.
Zum einen sind die meisten Cyberattacken nicht auf ein spezielles Ziel gerichtet, das heißt, Hacker suchen nicht gezielt bestimmte Einrichtungen, sondern
nutzen automatisierte Prozesse, um vorhandene Schwachstellen – egal wo
diese sich be昀椀nden – auszunutzen. Auch wenn Bildungseinrichtungen nicht das
primäre Ziel von Hackern sind, werden sie aufgrund ihrer oft weniger robusten
Was macht unsere SRH dagegen, wie schützt sie ihre Systeme vor digitalen
IT-Sicherheitsmaßnahmen trotzdem häu昀椀g angegriffen: Oft wird weniger in IT-
Angriffen?
Sicherheit investiert, und die dezentrale Organisation der IT-Strukturen kann
Patrick Mombaur: Also zunächst einmal müssen wir sagen, dass wir durch star-
zusätzliche Sicherheitslücken verursachen.
ke Netzwerksegmentierung zwischen den Trägerbereichen, Zentralisierung der
Infrastrukturen und Trennung der Authenti昀椀zierungsräume zwischen Studie-
Zum anderen birgt die enge Integration von Verwaltung, Lehrenden und Stu-
renden und Verwaltung schon vor dem Hackerangriff gut und deutlich besser
dierenden in IT-Prozesse ein erhebliches Risikopotenzial. Zwar haben wohl die
als der Marktdurchschnitt in den Branchen geschützt waren. Wir mussten aber
meisten Hochschulen Sicherheitsmauern zwischen der Studentenwelt, in die
erkennen, dass wir wohl weiter aufrüsten müssen.
die Studierenden integriert sind, und der Verwaltungs-IT errichtet, aber jede
Mauer kann mit Energie auch überwunden oder niedergerissen werden. Ins-
Durch ein sogenanntes SOC (Security Operating Center), ein SIEM (Security
gesamt stellen diese beiden Faktoren – ungerichtete Angriffe und mangelnder
Incident and Event Management System) und neue Endpoint-Schutzsysteme
IT-Schutz – eine Herausforderung dar, der sich Bildungseinrichtungen verstärkt
haben wir nun weitere Schutzsysteme im Einsatz. Damit stehen wir sehr weit
stellen müssen, um ihre Systeme und Daten effektiv zu schützen.
vor unseren Wettbewerbern. Das Teu昀氀ische ist aber: In der Security steht man
eben nicht nur mit den Branchenwettbewerbern im Wettbewerb, sondern auch
mit den großen DAX-Unternehmen, die noch viel, viel mehr Ressourcen im Abwehrkampf einsetzen können.
Deshalb haben wir uns vor etwa zwei Jahren auch dazu entschlossen, eine vollständige Trennung der Infrastrukturen von Verwaltung und Lehre vorzunehmen.
Bildlich gesprochen bedeutet das: Lehre und Verwaltung leben nicht mehr in
einer Doppelhaushälfte, die durch eine Mauer getrennt ist, sondern in zwei verschiedenen Häusern, sogar etwas entfernt im Baugebiet der SRH. Diese Maßnahme gewährleistet, dass ein Ausfall oder eine Sicherheitsverletzung in einem
Bereich die Funktionsfähigkeit des anderen nicht beeinträchtigt. Dies bedeutet
nicht, dass die Zusammenarbeit mit den Studierenden nicht mehr möglich ist,
sondern dass Sicherheitsmaßnahmen so gestaltet sind, dass verschiedene Zugriffsberechtigungen für unterschiedliche Funktionen benötigt werden.
Diese innovative Trennung der Strukturen wird deutschlandweit führend sein
und hebt sich von traditionellen Universitätsstrukturen ab, die oft eine weniger
zentralisierte und koordinierte IT-Umgebung haben. Durch die Bündelung der
dezentralen IT-Ressourcen können wir hochmoderne Sicherheitsmechanismen
etablieren, die eine einzelne Hochschule allein nicht kostenef昀椀zient realisieren
könnte. Die IT-Lösungen werden bei uns zentralisiert verwaltet, obwohl die Mitarbeitenden virtuell arbeiten und über mehrere Standorte verteilt sind. Durch
diese übergeordnete Steuerung können wir einheitliche IT-Richtlinien und -Sicherheitsstandards über das gesamte Netzwerk der SRH hinweg umsetzen.
109
