Der Gebrauch von Cookies erlaubt uns Ihre Erfahrungen auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

BM Holzleitner: „Startschuss für den Cyber Resilience Plan, das Cyberschutzprogramm für Universitäten“

Bundesministerium Eva-Maria Holzleitner hat zu einem Arbeitstreffen zur Cybersicherheit geladen. Bis 2027 werden die öffentlichen Universitäten ein gemeinsames Projekt zur Stärkung ihrer IT-Sicherheit umsetzen. Dabei geht es um mehr als nur den Schutz vor Cyberangriffen.

Hinweis

Videos mit Statements der Projektbeteiligten auf unseren Social Media Kanälen:

 Facebook      Instagram      LinkedIn

  • Cyberkriminalität generell nimmt seit Jahren stetig zu.
    • Cybersicherheitsbericht 2023: 65.864 Anzeigen wegen Internetdelikte angezeigt, ein Plus von 9,4 % in nur einem Jahr:
    • Dunkelziffer noch höher: Studie „Cybersecurity in Österreich“ der Unternehmensberatung KPMG: 2024 war bereits jeder siebte Angriff auf ein Unternehmen erfolgreich; Top-5-Angriffsarten 2023: Phishing-Attacken (87 %), Malware (86 %), Internetbetrug in Form von Business-E-Mail-Compromise bzw. CEO-/CFO-Fraud (80 %), Social Engineering (62 %) und (Distributed) Denial-of-Service-Attacken (54 %).
  • Auch österreichische Universitäten bzw. Hochschulen wurden bereits durch Cyberangriffe attackiert.
    • Diebstahl von Stammdaten von tausenden Studierenden
    • Verschlüsselung personenbezogener Daten von Studierenden und Mitarbeiter:innen
    • IT-System mehrere Tage lang ohne Zugriff für Studierende und Mitarbeiter:innen
    • Website einer Hochschule vorübergehend nicht abrufbar, E-Mails lahmgelegt.
    • Mehrere Tage lang ohne Zugriff auf das IT-System für Studierende und Mitarbeiter:innen
    • Studierende und Mitarbeiter:innen brauchen neue Passwörter nach Cyberangriff
Eva-Maria Holzleitner, Bundesministerin für Frauen, Wissenschaft und Forschung: „Unsere Universitäten und Hochschulen sind Orte der Offenheit, der Freiheit und des Fortschritts. Aber auch sie sind verletzlich. Cyberangriff machen keinen Halt vor Hörsälen. Wer die Wissenschaft und Forschung angreift, greift die Zukunft unseres Landes an. Mit dem Cyber Resilience Plan, unserem Cyberschutzprogramm für die öffentlichen Universitäten sorgen wir jetzt vor. Wir investieren 45 Mio. Euro, um unsere öffentlichen Universitäten gegen Cyberangriffe zu schützen und eine widerstandsfähige Wissenschaft und Forschung zu garantieren.

Warum Universitäten bzw. Hochschulen häufig Cyberattacken ausgesetzt sind:

  • Offene IT-Strukturen: Freie Lehre und Forschung braucht offene Netze und die dezentrale Nutzung. Daher betreiben Universitäten bzw. Hochschulen viele Domains, Server Websites und verschiedenste Anwendungen. Diese erschwert zentrale Sicherheitskontrollen.
  • Wertvolle Daten: Universitäten bzw. Hochschulen verfüge über tausende von Daten: Forschungsdaten, personenbezogene Daten von Studierenden, Lehrenden, Forschenden und Administrativmitarbeiter:innen. Sie sind für Angreifer:innen nicht nur wirtschaftlich, sondern mitunter auch politisch relevant (Stichwort Forschungssicherheit).
  • Hohe Nutzer:innenfluktuation: Jedes Semester gehen und kommen neue Studierende, Forschende und Projektmitarbeiter:innen, die alle neue Zugriffsberechtigungen und Schulungen benötigen.
  • Kooperation mit Wissenschaft, Wirtschaft, Industrie, Gesellschaft: Potenzielle Sicherheitsrisiken durch die Zusammenarbeit mit externen Partner:innen.
  • Knappe Sicherheitsbudgets: Im Vergleich zu Unternehmen der kritischen Infrastruktur wie Banken oder Energieversorgern verfügen Universitäten bzw. Hochschulen über knappe Sicherheitsbudgets.

Univ.-Prof. Dr. Edgar Weippl, SBA Research: „Es hat viele Gründe, warum Hochschulen ein beliebtes Ziel für Cyberangriffe sind. Vor allem aber liegt es an ihrer Offenheit. Hochschulen fördern offene Netzwerke und dezentrale IT-Nutzung, damit alle – Studierenden, Lehrende, Forschende, Administrativkräfte, aber auch Kooperationspartner:innen – Zugriff darauf haben. Zugleich braucht es Cybersicherheit, um eben diese Freiheit der Lehre und der Wissenschaft sicherzustellen.“

Das ist der Cyber Resilience Plan – das Cyberschutzprogramm für die öffentlichen Universitäten.

  • 22 Universitäten ziehen an einem Strang und stärken gemeinsam ihre IT-Sicherheit
  • 45 Mio. Euro als Anschubfinanzierung des BMFWF bis 2027; davon fließen 6,75 Mio. Euro (35 %) in fünf Themenschwerpunkte, die die Universitäten gemeinsam etablieren und 38,25 Mio. Euro, um die gemeinsam erarbeiteten Lösungen an den einzelnen Uni-Standorten umzusetzen.
  • Konzeption des Resilience Plan durch das Forum Digitalisierung der österreichischen Universitätenkonferenz (uniko)
  • Ausgangsbasis: das 2024 durchgeführtes Universitätsübergreifendes Vorprojekt zur Steigerung der Informationssicherheit und der IT-Security, kurz UVI-Sec mit dem Ergebnis:

⇨ Universitäten haben unterschiedliche Sicherheitsanforderungen und Sicherheitsniveaus, weil sie verschieden sind.
⇨ Aber bei jeder der 22 Universitäten besteht Handlungsbedarf in der Cybersecurity.

Ronald Maier, Vorsitzender des Forums Digitalisierung der uniko und Vizerektor für Digitalisierung und Wissenstransfer der Universität Wien: „Ziel dieses gemeinsamen Projekts ist es die Schutzniveaus und die Informationssicherheit aller Universitäten zu erhöhen. Die Universitäten gehen diesen Schritt gemeinsam, was maximale Synergien und maximale Effizienz zur Folge hat.“

Irene Häntschel-Erhart, stv. Vorsitzende des Forums Digitalisierung der uniko und Vizerektorin für Digitalisierung und Nachhaltigkeit der Universität Innsbruck: „Alle 22 Universitäten stehen hinter diesem Projekt. Dazu gehören Investitionen in Hardware, physische Infrastruktur, Software, cloudbasierte Komponenten sowie Beratung und Fachpersonal, um die Resilienz der Universitäten gegen Cyberattacken zu stärken.“

Cyber Resilience Plan: Fünf Themenschwerpunkte, fünf Leadunis, gemeinsam umgesetzt

  1. Agreed Upon Practices, TU Graz: Erarbeitung gemeinsamer Richtlinien für die Cybersicherheit; das sind technische, organisatorische und personelle Mindeststandards, die alle Universitäten einhalten sollten. Beispiele: Multifaktor-Authentifizierung, verpflichtende Sicherheitsschulungen.
    Zeitplan: Bis Ende 2025 liegt ein Basispaket an Sicherheitsrichtlinien vor, 2026 Erweiterung und Ergänzung, 2027 Etablierung von Sicherheitsstrategien an den einzelnen Universtäten.
  2. Awareness und Schulungen, Universität Salzburg: Universitätsübergreifende Umsetzung von Schulungs- und Awarenessmaßnahmen, wie Workshops, Trainings, Selbsternmodule oder Phishing-Awarenessprogramme und Verankerung in den IT-Sicherheits- und Digitalisierungsstrategien der einzelnen Universitäten.
    Zeitplan: 2025 wird ein Konzept erarbeitet und als Pilotprojekt umgesetzt, 2026 folgen Vollumsetzung und Rollout; 2027 werden die Lösungen institutionalisiert.
  3. Security Operation Center, Wirtschaftsuniversität Wien: Viele Hackerangriffe werden erst erkannt, wenn Zugriffe blockiert sind und Lösegeld verlangt wird. Dabei können sich Eindringlinge schon monatelang, im System befinden. Ein Security Operation Center (SOC) hilft, solche Zugriffe frühzeitig durch die kontinuierliche Analyse (z.B. der Logfiles) und Überwachung zu entdecken. Ziel dieses Schwerpunkts ist, eine Ausschreibung vorzubereiten und durchzuführen, um solche SOC an einer Universität oder mehreren zu etablieren.
    Zeitplan: 2025 Erstellung eines Lastenhefts für die Ausschreibung, 2026 Durchführung der Ausschreibung, 2027 Umsetzung
  4. Technische Maßnahmen, TU Wien: Ob Multifaktor-Authentifizierung oder EDR - also Endpoint Detection Response-Software), die erkennt, ob ein Virus vorhanden ist - es gibt viele Möglichkeiten, IT-Systeme technisch zu schützen, diese Lösungen sind aber mitunter kostspielig. Ziel dieses Schwerpunkts ist daher eine gemeinsame Marktrecherche, Produktauswahl und Proof-of-Concept-Umsetzungen durchzuführen.
    Zeitplan: Ziel ist es, 2025 eine erste Rahmenstruktur für koordinierte Pilotprojekte zu entwickeln und sie 2026 auf ihre Praxistauglichkeit zu überprüfen. 2027 sollen diese Pilotprojekte finalisiert werden und an den Universitäten zum Einsatz kommen.
  5. Sicherheitsüberprüfungen, Universität Wien: Ebenfalls kostspielig sind Sicherheitsüberprüfungen wie Penetrationstests, in denen Firmen professionelles Hacking anbieten, um Sicherheitslücken in den IT-Systemen zu entdecken. Das gilt insbesondere für kleinteilige IT-Systeme mit vielen Servern, wie sie typischerweise von Universitäten betrieben werden. Deshalb soll innerhalb einer Kerngruppe an Universitäten eine Bedarfsanalyse durchgeführt und danach gemeinsame Sicherheitsüberprüfungen entwickelt und entsprechendes Knowhow, Trainings und entsprechende Weiterbildungsangebote aufgebaut werden.
    Zeitplan: 2025 wird die Kerngruppe definiert, die Bedarfsanalyse fertiggestellt. 2026 dann entsprechende Prototypen und Proof-of-Concepts samt den entsprechenden Schulungsmaßnahmen entwickelt, die dann 2027 umgesetzt werden.

Begleitet wird das Projekt im Projektmanagement, Kommunikation, Koordination durch das eigens eingerichtete Project Support Office unter der Leitung von Anca Malavasic von ACOmarket.

Wissenschaftsministerin Eva-Maria Holzleitner: „Der Cyber Resilience Plan ist ein Sicherheitsversprechen für die Wissenschaft: Systeme sollen Angriffen standhalten und Studium, Lehre und Forschung ohne Unterbrechung ermöglichen. Gemeinsam wollen wir zeigen, dass Österreichs Universitäten nicht nur Orte der Erkenntnis sind, sondern auch Bollwerke digitaler Sicherheit.“