Hackerangriff auf die FAU – wie wahrscheinlich ist das?

Auf ein Wort, der Kanzlerpodcast mit Christian Zens.

Moderation: Stellen Sie sich vor, Sie kommen am Morgen in die Arbeit und nichts funktioniert. Sie können weder Ihre Mails noch das Dokument, das Sie jetzt eigentlich bräuchten, öffnen. Der Versuch, zu telefonieren, führt ins Leere. Dem restlichen Büro geht es ganz genauso. Sie wollen sich auf der Uni-Webseite informieren, was denn da los ist, aber auch hier: Fehlanzeige. Ein Szenario wie dieses ist an der FAU zum Glück noch nicht vorgekommen. An anderen Unis aber schon. Hackerangriffe sind zunehmend zu einer Gefahr im wissenschaftlichen Bereich geworden. Und damit auch für die FAU. Aber was macht die FAU, um einen Hackerangriff zu verhindern? Und wer kümmert sich überhaupt um die Sicherheit unserer Daten? Genau darum soll es in der heutigen Podcast-Folge gehen. Mit dabei sind gleich zwei Gesprächsgäste. Natürlich unser Kanzler, Christian Zens. Hallo Herr Zens, schön, dass Sie sich wieder die Zeit genommen haben.

Kanzler Christian Zens: Immer wieder gerne, Hallo.

Moderation: Außerdem unterstützt uns heute Michael Tielemann mit seinem Fachwissen. Er ist Chief Information Security Officer der FAU, kurz CISO. Hallo Herr Tielemann, wie schön, dass Sie dabei sind.

CISO Michael Tielemann: Hallo, ja gerne doch.

Moderation: Herr Tielemann, gleich mal vorneweg. Chief Information Security Officer ist ein ganz schöner Zungenbrecher. Und vielleicht haben nicht alle ein klares Bild davon, was das überhaupt bedeutet. Was genau steckt denn hinter Ihrem Titel?

Herr Tielemann: Ja, ein Zungenbrecher in der Tat. Die Abkürzung geht leichter über die Zunge. CISO. Ja, ich kümmere mich um die Informationssicherheit im Allgemeinen. Ein breites Thema mit ganz vielen Facetten. Ich denke, wir kommen dann in dem Gespräch noch auf das eine oder andere Thema. Informationen an der FAU gibt es zuhauf. Wir sind eine Forschungseinrichtung. Wir machen Lehrbetrieb. Insofern ist das unsere Ware, mit der wir umgehen. Und natürlich sollen wir uns kümmern, um die Informationen zu sichern.

Moderation: Herr Zens, es war Ihnen ja ein persönliches Anliegen, mal eine Folge zur Informationssicherheit zu machen. Warum ist dieses Thema für die FAU denn so wichtig?

Herr Zens: Na ja, Sie haben es schon erwähnt. Es gibt mittlerweile zunehmend Wissenschaftseinrichtungen, gerade auch Universitäten, die Opfer irgendeines Angriffs geworden sind. Ich tausche mich natürlich aus mit den Kolleginnen und Kollegen bundesweit. Ich bin ja auch im DFN-Verein und bekomme darüber auch einige Informationen über Vorfälle. Und letztendlich ist es, glaube ich, für uns alle auf der Management-Ebene klar: Es ist nicht mehr eine Frage des Ob, sondern mehr eine Frage, wann was passiert. Und wir müssen vorbereitet sein. Das ist unerlässlich. Wir reden ja auch auf der anderen Seite von der Digitalisierung. Nur die Digitalisierung hat einige Grundvoraussetzungen und eine der wichtigsten ist die Informationssicherheit.

Moderation: Aber an der FAU gab es bis jetzt noch keinen aktuellen Anlass, der Sie jetzt dazu bewegt hat?

Herr Zens: Doch, es gab einige kleinere Vorfälle auch schon in der Vergangenheit. Also es ist nicht so, dass wir komplett ungeschoren davongekommen sind. Es waren zum Beispiel beim Studiengang Namen und weitere persönliche Daten frei auffindbar. Als Beispiel in einem anderen Bereich ist ein dezentraler Server tatsächlich gehackt worden und die Daten waren auch entsprechend weg. Also es ist nicht so, dass wir bisher komplett ungeschoren davongekommen sind. Aber die Hauptsysteme bisher in dem Sinn noch nicht.

Moderation: Herr Tielemann, Sie haben ja gerade schon ein bisschen Licht ins Dunkel gebracht und erzählt, wofür Sie zuständig sind. Jetzt will ich aber noch ein bisschen konkreter wissen: Welche Schritte unternehmen Sie, um unsere Informationen zu schützen und mögliche Hackerangriffe zu verhindern?

Herr Tielemann: Gut, wir sind seit gut eineinhalb Jahren dabei, unsere Schwachstellen kennenzulernen. Wir müssen vor allem unsere Internet-Systeme beobachten und testen. Das ist im Grunde die Angriffsfläche schlechthin für Hacker und unsere Aufgabe ist es natürlich, dort Schwachstellen zu identifizieren und abzustellen und zu beheben. Das gelingt uns. Die kritischen Schwachstellen sind mittlerweile alle auf Null gebracht. Also da bin ich guter Hoffnung, dass wir da auch noch besser werden. Das hat schon ganz viel Sicherheit produziert an der Stelle. Aber wir müssen uns natürlich noch ganz andere Themen auch noch kümmern. Notfallmanagement zum Beispiel. Was machen wir, wenn es dennoch mal zu einem großen Hackerangriff kommt? Da sollten wir vorbereitet sein. Ich habe gerade heute in der Presse einen Artikel gefunden über das Klinikum in Erlangen, das ja im Januar einen Hackerangriff erlebt hat. Die standen vier Monate jetzt ohne IT im Betrieb und genau so ein Szenario sollte man vorbereitet haben.

Moderation: Ich habe auch schon häufiger von sogenannten Sicherheitsscans gehört, die an der FAU gemacht werden. Können Sie vielleicht kurz erklären, was genau es damit auf sich hat?

Herr Tielemann: Genau, das sind die Schwachstellenscans, die wir durchführen. Also wir scannen unsere Internet-Systeme kontinuierlich, regelmäßig nach bekannten Schwachstellen. Das ist eine weltweit verfügbare Datenbank, in der die bekannten Schwachstellen gelistet sind. Und diese Werkzeuge benutzen diese Datenbanken, um die zu überprüfenden Systeme abzuklopfen auf aktuelle Softwarestände, auf bekannte Schwachstellen. Und sollten wir auf Schwachstellen stoßen, werden wir die natürlich umgehend beheben.

Moderation: Also Sie überprüfen auch, ob alle Softwares up to date sind und regelmäßig geupdated werden?

Herr Tielemann: Genau.

Moderation: Was war denn bis jetzt, würde mich interessieren, der längste Zeitraum, über den ein System mal nicht geupdated wurde?

Herr Tielemann: Also mein persönliches Highlight war ein Speichersystem, ein NAS-System, das seit zwölf Jahren nicht mehr geupdated wurde. Und wenn ich noch ein zweites hinzufügen darf, wir haben auch einen Windows-7-Server noch gefunden, der im Internet erreichbar war. Und das sind Betriebssysteme, die natürlich schon lange End of Life sind und damit ständig unsicherer werden. Also das ist eine richtige Gefahr für die Infrastruktur.

Moderation: Und was genau machen Sie dann, wenn Ihnen sowas auffällt?

Herr Tielemann: Wenn die Auffälligkeiten zu stark werden oder die Lücken zu groß sind, dann werden wir diese IP-Adresse natürlich umgehend sperren, dass die Systeme im Internet nicht mehr erreichbar sind. Und dann versuchen wir, die verantwortlichen Menschen zu finden, die für diese Systeme verantwortlich sind. Und ich darf ergänzen, das ist relativ schwierig an der FAU. Das kann durchaus einen halben Tag kosten, bis man dann einen Menschen getroffen hat oder kennengelernt hat, mit dem man dann über die Technik reden kann.

Moderation: Und in den Fällen ist es Ihnen dann aber gelungen?

Herr Tielemann: Ja.

Herr Zens: Das ist natürlich auch ein Problem, wenn man so will, dass wir eine sehr dezentrale Struktur haben. Wir haben nicht ein IT-System, wenn man es mal ein bisschen salopp bezeichnen darf, das dann irgendwo zentral beim Rechenzentrum zusammenläuft, sondern wir haben einfach eine ganze Reihe von dezentralen Strukturen mit eigenen IP-Adressen, mit eigenen Zugängen. Und das macht es dann auf der einen Seite natürlich nicht viel einfacher. Vielleicht noch einen Punkt, der mir wichtig ist. Es ist nicht nur alleine der Schutz, den wir machen müssen, damit es uns besser geht, sondern wir sind auch gesetzlich verpflichtet, wirklich dann auch unsere Systeme so mit der aktuellen Technik zu fahren und auch zu prüfen. Das gibt uns schon die Datenschutz-Grundverordnung vor, damit wir auch die persönlichen Daten der Beschäftigten, der Studierenden und so weiter und der Partner sichern können.

Moderation: Herr Zens, jetzt mal Hand aufs Herz. Wird bei Ihnen immer alles sofort geupdatet?

Herr Zens: Mein System ist zentral administriert vom Rechenzentrum oder jetzt hier vom IZH und da werden die Updates alle automatisch gefahren, wenn ich meinen Rechner hochfahre. Das ist denke ich mal schon ein wichtiger Schutz und ich habe keine weiteren Systeme am Laufen, die sozusagen außerhalb des Pakets des Rechenzentrums sind.

Moderation: Okay, jetzt wissen wir, was gerade schon alles gemacht wird, aber wie schaut es in der Zukunft aus? Haben Sie hier schon Pläne?

Herr Tielemann: Da gibt es Pläne in der Tat, ja. Also wir haben deutlich über 3000 Internetsysteme an der FAU und das ist für meinen Dafürhalten viel zu hoch. Wir müssen die Angriffsfläche reduzieren, das heißt wir werden uns überlegen und sind auch schon dabei, wie wir und welche Systeme wir ins interne Netz der FAU verlegen können. Ich gehe nicht davon aus, dass alle rund 3500 Systeme im Internet erreichbar sein müssen. Wenn die Zahl deutlich geringer wird, geht es mir schon besser.

Herr Zens: Und wir müssen vielleicht einen wichtigen Punkt auch noch mal herausstellen: Das Ganze ist jetzt nicht nur eine Aufgabe des Rechenzentrums oder des CISO oder anderer Einheiten, sondern das geht uns alle an. Wir selbst glaube ich, wir müssen auch eine gewisse Sensibilität der Beschäftigten, gerne auch der Studierenden erreichen. Wir wissen alle vielleicht aus dem privaten Umfeld, wie schnell mal im Grunde genommen Opfer werden kann, wenn man nicht genau aufpasst. Ich kann selber aus meinem eigenen Erleben sehen, das war vor ungefähr zwei Jahren. Da kam eine wirklich täuschend echte E-Mail aus dem, dachte ich, aus dem Wissenschaftsministerium von der Sekretärin des Abteilungsleiters. Und das sah wirklich absolut echt aus, mit der Signatur und allem drum und dran. Und da war ein Anhang dran. Und wenn der Text nicht so blöd formuliert gewesen wäre, nach dem Motto, ich soll endlich die Rechnung zahlen, glaube ich, stand drauf, dann hätte ich da wahrscheinlich auch angeklickt. Und das sind dann so Dinge, da glaube ich fällt man leicht rein, wenn man nicht die gewisse Sensibilisierung erreicht. Das geht uns alle an.

Moderation: Herr Zens, Herr Tielemann, es wird ja schon einiges gemacht. Allerdings ist das natürlich keine Garantie für absolute Sicherheit. Herr Zens, Sie haben es ja vorhin schon angesprochen, dass es sich eigentlich gar nicht um ein Ob, sondern eher um ein Wann handelt. Also: Angenommen, die FAU wird morgen gehackt. Was genau passiert denn dann?

Herr Zens: Ja, da haben wir zunächst mal Strukturen aufgebaut. Das heißt, es gibt ein Notfallteam. Es gibt einen Raum, den wir möglicherweise jetzt demnächst ändern müssen. Aber es gibt einen Raum, wo dann tatsächlich dann die Techniker und die Personen zusammenkommen. Ein Krisenstab, ein Notfallteam sozusagen, die sich dann mit den Maßnahmen beschäftigen müssen. Aber das kann Herr Tielemann, denke ich mal, wesentlich besser beschreiben, was das dann im Einzelnen bedeutet. Es sind da mehrere Stufen.

Herr Tielemann: Genau, das ist im Prinzip das Thema Notfallmanagement. Wir haben, der Herr Zens hat schon gerade erwähnt, einen IT-Krisenstab gegründet mit den wichtigsten Personen an der FAU, sodass wir entscheidungsfähig sind. Wir haben uns eine externe Kommunikationsmöglichkeit eingekauft, um kommunizieren zu können. Denn wir müssen davon ausgehen, dass in solch einem Krisenfall kein E-Mail mehr funktioniert, keine Telefonanlage mehr funktioniert. Man kann im Grunde nicht mehr sprechen und nicht mehr kommunizieren. Insofern haben wir uns da jetzt eine Infrastruktur zugelegt. Wir haben Pläne entwickelt. Ich muss gestehen, die sind noch nicht zu Ende. Aber wir sind dabei, Pläne aufzustellen, wie wir dann vorgehen. Wir brauchen Kommunikation nach außen an die Öffentlichkeit. Wir müssen die Ermittlungsbehörden einschalten. All diese Themen müssen vorbereitet sein und können auch ein gutes Stück vorbereitet werden. Aber man muss auch dazu sagen, jeder Schadensfall wird anders aussehen. Die Universallösung wird es nicht geben. Wir müssen im konkreten Fall dann analysieren, ein Schadensbild erheben und dann entscheiden, wie wir weitermachen wollen. Ein weiterer Gedanke, der schon umgesetzt wird, ist eine Notfallinsel, eine IT-Infrastruktur aufzubauen, mit der wir dann einen Notbetrieb machen können. Das entsteht gerade im LRZ. Da gibt es mittlerweile einen Web-Server. Es wird in Kürze ein Mail-Server dazukommen, sodass wir dann über diese Notfallinsel kommunikationsfähig werden können.

Moderation: Ist schon klar, wann diese Kommunikationsinsel dann startklar wäre?

Herr Tielemann: Ja, der Zeitraum ist nicht vorhersagen. Es dauert leider alles etwas länger bei uns. Die Aufträge sind erteilt, aber die Umsetzung zieht sich leider in die Länge.

Moderation: Wenn ich das so alles höre, werde ich ja fast schon ein bisschen nervös. Und das noch nicht mal 20 Minuten. Herr Tielemann, wird man in Ihrem Job nicht irgendwann total paranoid?

Herr Tielemann: Ja, die Gefahr besteht, da muss man selber ein Stück auf sich aufpassen. Man muss da schon einige Spannungen aushalten, sage ich mal.

Herr Zens: Also wenn Sie da zum Beispiel mit Kolleginnen und Kollegen sprechen, die betroffen sind oder betroffen waren, da wird einem schon bewusst, das macht auch was mit einem persönlich. Das ist dann wirklich eine wahnsinnige Stresssituation über einen relativ langen Zeitraum. Wir reden ja bei der Behebung dann dieser Schadensfälle nicht über ein paar Tage. Es gibt genügend Beispiele von deutschen Universitäten, da können Sie davon ausgehen, sind Monate, bis Sie dann im Grunde genommen wieder einigermaßen arbeitsfähig sind. Und ich sage einigermaßen arbeitsfähig. In Gießen zum Beispiel war es über ein halbes Jahr, an der Technischen Universität in Berlin ebenfalls. Und das ist noch nicht mal die Forensik dahinter, sondern es ist tatsächlich diese Systeme dann wieder neu aufzubauen, sodass sie dann wieder technisch einwandfrei funktionieren. Und über diesen Zeitraum, da stehen Sie echt unter Stress. Und zwar nicht nur einige wenige, sondern viele Menschen.

Moderation: Herr Tielemann, Herr Zens hat es vorhin ja schon kurz angesprochen. Die FAU ist ja auch rechtlich dazu verpflichtet, die Daten Ihrer Mitarbeitenden zu schützen. Haben Sie hier noch mehr Informationen?

Herr Tielemann: Die Datenschutzgrundverordnung ist ja seitdem es sie gibt risikobasiert. Und wir sind aufgerufen und so steht es auch in der Datenschutzgrundverordnung drin, den Stand der Technik vorzuhalten. Und da sind wir noch nicht angekommen. Es gibt da noch an der einen oder anderen Stelle Verbesserungspotenzial. Und die Schritte sollten wir auch einleiten. Wir haben auch schon begonnen.

Moderation: Im Vorgespräch haben Sie erzählt, dass Sie sich auch viel mit dem Themenbereich der Cyber-Security beschäftigen und dass dazu zum Beispiel auch ein Hochdrucklabor der FAU gehört, das sogar unter das Explosionsschutzgesetz fällt. Was hat es denn damit auf sich?

Herr Tielemann: Ja, ein spannendes Thema. Die Explosion interessiert mich an der Stelle da nicht wirklich. Mich interessiert aber, weil die Prüfbehörden oder der TÜV in dem Fall die Anlagentechnik jetzt auf Cyber-Sicherheit überprüft. Und das spannt ein neues Feld auf. Es ist natürlich jetzt interessant zu hören und zu sehen, welche Anlagentechnik haben wir an der FAU und gibt es dort Verbindungen zum Internet. Ich habe schon gelernt, dass die Aufzugsteuerung auch mit dem Internet verbunden ist. Also da sollte man dann mal genauer hinschauen, welche Möglichkeiten, welche Risiken da erwachsen und wie wir da aufgestellt sind.

Moderation: Würden Sie sich noch mehr rechtliche Vorschriften wünschen?

Herr Tielemann: Ja, zweischneidiges Schwert. Also mir persönlich würde es natürlich helfen, wenn wir eine gesetzliche Grundlage hätten, auf der ich argumentieren kann. Dann wären viele Diskussionen nicht mehr notwendig. Aber wir haben konkret keine Gesetzeslage zur Informationssicherheit. Es gibt, wie schon gesagt, diese Risikogeschichte aus der Datenschutzgrundverordnung, die natürlich auch wichtig ist und auch gelebt werden muss. Aber wir haben jetzt zum speziellen Bereich der Informationssicherheit an der FAU keine Gesetze zu berücksichtigen. Wir sind keine KRITIS-Einrichtung, also keine kritische Infrastruktur, wie das zum Beispiel eine Klinik ist. Die haben ein sogenanntes BSI-Gesetz, nach dem sie arbeiten müssen. Die FAU oder Universitäten im Allgemeinen sind dort explizit ausgenommen worden.

Herr Zens: Jetzt bin ich zwar Jurist, aber ich würde nicht gleich nach einer neuen Gesetzesänderung oder Anpassung rufen. Ich denke mal, der Appell, den ich vorhin schon gemacht habe, die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter, aber auch der Studierenden, ist ein extrem wichtiges Werkzeug dazu. Und die Datenschutzgrundverordnung haben wir jetzt zweimal schon erwähnt, sagt ja, letztendlich müssen wir unsere Technik tatsächlich auf dem neuesten Stand halten. Das ist eine infrastrukturelle Frage auf der einen Seite, das ist aber auch eine Frage, wie ich damit umgehe. Und es muss gerade jetzt, denke ich mal, bei den wichtigsten Werkzeugen, die wir für die tägliche Arbeit haben, muss da eine gewisse Sensibilisierung da sein. Ich will auch noch einen Punkt vielleicht erwähnen. Wir haben ja in unserer Rahmendienstvereinbarung auch die Möglichkeit, dass wir unsere Infrastruktur, unser Internet in geringem Umfang für private Zwecke nutzen. Auch das sollten die Kolleginnen und Kollegen natürlich berücksichtigen, dass wenn sie für private Zwecke genutzt werden, dürfen ja genutzt werden, dann natürlich auch das Risiko besteht, dass dann private Daten, wenn die Systeme bei uns nicht in Ordnung sind, abfließen können.

Moderation: Herr Tielemann, heute haben wir Sie als CISO in den Podcast eingeladen. Aber natürlich sind Sie nicht die einzige Person, die sich an der FAU mit Informationssicherheit beschäftigt. Wen gibt es da denn noch alles?

Herr Tielemann: Wir sind in der glücklichen Lage, mittlerweile ein Security Operations Center gegründet zu haben. Da sind drei Kolleginnen und Kollegen Vollzeit beschäftigt, sich um die Informationssicherheit zu kümmern. Die planen und entwickeln unsere Notfallpläne, machen das Schwachstellenmanagement. Die Scans hatten wir vorhin angesprochen. Und ganz wichtig, wir kümmern uns jetzt um das Risikomanagement. Wir müssen ja unsere Risiken erstmal kennenlernen, um dann reagieren zu können, um diese Risiken zu reduzieren oder auf Null zu bringen im Idealfall.

Moderation: Wir haben jetzt viel darüber gehört, was die FAU für unsere Informationssicherheit tut. Aber was kann ich denn selbst tun, um meine Information zu schützen? Herr Tielemann, haben Sie als Experte drei Tipps für unsere Zuhörerinnen und Zuhörer, die alle sofort umsetzen können, um unsere Daten ein kleines bisschen sicherer zu machen?

Herr Tielemann: Ja, ich denke schon. Eines der ganz einfachen Themen sind, sich zu überlegen, wie ich mit meinen Informationen zum Beispiel in öffentlichen Cloud-Systemen umgehe. Welche Information transformiere ich, übertrage ich nach Amazon oder auf die Google Cloud oder wo hin auch immer. Also diese Cloud-Dienste sind mit Vorsicht zu genießen. Da haben wir keine Kontrolle darüber, was dort passiert und wer da mitlesen kann. Ein zweiter Punkt ist, Backup zu machen. Es klingt trivial, ist es leider nicht, aber es hilft in ganz vielen Fällen. Backup zu haben, ist eine Rückversicherung für seine eigenen Informationen. Und der dritte Punkt, ja halten Sie Ihre Software aktuell. Wir hatten es schon angesprochen, das ist das Beste, was man tun kann. Man kann selber die Technik nicht mehr durchblicken. Es ist zu komplex geworden. Wir müssen uns auf die Hersteller verlassen und wenn die Angebote machen zur Aktualisierung, dann sollten wir die umgehend einspielen, sodass wir immer aktuelle Systeme haben.

Moderation: Vielen Dank für die tollen Tipps, Herr Tielemann! Ich kann auf jeden Fall etwas für meinen Arbeitsalltag mitnehmen. Vielleicht geht es ja dem einen oder anderen genauso. Wir wissen jetzt, was die FAU für unsere Informationssicherheit tut und wie wir alle unseren Teil dazu beitragen können. In der kurzen Zeit konnten wir das Thema aber natürlich nur anreißen. Wenn Sie, liebe Zuhörerinnen und Zuhörer, noch genauer wissen wollen, wie Sie Ihre Daten sichern können und warum das wichtig ist, schauen Sie doch mal auf unserer internen Webseite vorbei. Dort finden Sie beispielsweise Tipps dazu, wie Sie Ihre Passwörter managen können, wie Sie datenschutzkonforme Terminplaner finden und wie Sie sicher mit Phishing und Spam-Mails umgehen. Außerdem bietet Herr Tielemann eine regelmäßige Sprechstunde an, in die alle FAU-Angehörigen gerne ihre Fragen mitbringen können. Die entsprechenden Beiträge haben wir für Sie in der Podcastbeschreibung verlinkt. Vielen Dank an Sie, Herr Zens und Herr Tielemann, dass Sie sich die Zeit genommen haben, um mit mir über dieses wichtige Thema zu sprechen.

Herr Zens: Immer wieder gerne.

Herr Tielemann: Danke für die Einladung.

Moderation: Damit verabschiede ich mich. Bis zum nächsten Mal.