Der Gebrauch von Cookies erlaubt uns Ihre Erfahrungen auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

BM Holzleitner: „Startschuss für den Cyber Resilience Plan, das Cyberschutzprogramm für Universitäten“

Bundesministerium Eva-Maria Holzleitner hat zu einem Arbeitstreffen zur Cybersicherheit geladen. Bis 2027 werden die öffentlichen Universitäten ein gemeinsames Projekt zur Stärkung ihrer IT-Sicherheit umsetzen. Dabei geht es um mehr als nur den Schutz vor Cyberangriffen.

Identitätsdiebstahl, Kreditkartenbetrug, Schadsoftware – das sind nur einige Beispiele für Internetkriminalität. Allein im Jahr 2023 wurden deshalb in Österreich laut aktuellem Cybersicherheitsbericht 2023 65.864 Fälle angezeigt. Expert:innen gehen aber von einer weitaus höheren Dunkelziffer aus.

Betroffen davon sind nicht nur Einzelpersonen und Unternehmen. Auch Universitäten und Hochschulen sind ein äußerst beliebtes Ziel. Grund genug für Eva-Maria Holzleitner, verantwortliche Wissenschafts- und Forschungsministerin Fachleute und Universitätsvertreter:innen zu einem umfassenden Arbeitstreffen zur IT-Sicherheit von Hochschulen in ihr Ministerium am Minoritenplatz einzuladen und gemeinsam mit ihnen den Startschuss für ein neues, umfassendes Projekt zu geben: den Cyber Resilience Plan.

„Cyberangriffe machen keinen Halt vor Hörsälen. Wer die Wissenschaft und Forschung angreift, greift die Zukunft unseres Landes an. Mit dem Cyber Resilience Plan, unserem Cyberschutzprogramm für die öffentlichen Universitäten sorgen wir jetzt vor. Wir investieren 45 Mio. Euro, um unsere öffentlichen Universitäten gegen Cyberangriffe zu schützen und eine widerstandsfähige Wissenschaft und Forschung zu garantieren“, betont Holzleitner.

Cyber Resilience Plan: Gemeinsam konzipiert und umgesetzt von den 22 öffentlichen Universitäten

Das Besondere daran: Das Projekt wurde von dem Forum Digitalisierung der Österreichischen Universitätenkonferenz (uniko) und damit von den von ihr vertretenen 22 öffentlichen Universitäten selbst konzipiert, mehr noch, sie haben bereits im Vorjahr ein universitätsübergreifendes Vorprojekt zur Steigerung der Informationssicherheit und der IT-Security als Ausgangsbasis für den Cyber Resilience Plan durchgeführt. Das Ergebnis: Universitäten sind verschieden. Deshalb haben sie auch jeweils unterschiedliche Sicherheitsanforderungen und Sicherheitsniveaus zu erfüllen. Die liegen beispielsweise gerade bei Medizinischen Universitäten und den damit verbundenen Krankenanstalten ungleich höher als an manch anderen Universitäten ist. Dennoch zeigte sich auch: Bei jeder der 22 Universitäten besteht durchaus Handlungsbedarf in der Cybersecurity.

Deshalb sind Universitäten und Hochschulen attraktive Ziele für Cyberangriffe:

Edgar Weippl, den wissenschaftlichen Leiter von SBA Research, dem Forschungszentrum für Informationssicherheit in Österreich, wundert das nicht. „Hochschulen fördern sie offene Netzwerke und die dezentrale IT-Nutzung, damit alle – Studierenden, Lehrende, Forschende, Administrativkräfte, aber auch Kooperationspartner:innen – Zugriff darauf haben“, betont er und nennt darüber hinaus noch weitere Gründe: die wertvollen Forschungs- und personenbezogenen Daten, über die Hochschulen verfügen; die hohe Fluktation an Nutzer:innen durch das Kommen und Gehen von Studierenden, Forschenden und Projektmitarbeiter:innen; die Kooperation mit Wissenschaft, Wirtschaft und Industrie und Gesellschaft und die damit verbundenen Sicherheitsrisiken durch die Zusammenarbeit mit externen Partner:innen.

Cyber Resilience Plan: Alle 22 öffentlichen Universitäten ziehen an einem Strang

„Umso wichtiger ist, dass alle 22 Universitäten hinter diesem Projekt stehen“, betont Irene Häntschel-Erhart, stellvertretende Vorsitzende des uniko-Forums Digitalisierung und Vizerektorin für Digitalisierung und Nachhaltigkeit der Universität Innsbruck und ergänzt: „Dazu gehören Investitionen in Hardware, physische Infrastruktur, Software, cloudbasierte Komponenten sowie Beratung und Fachpersonal, um die Resilienz der Universitäten gegen Cyberattacken zu stärken.“

Das Ziel des Projekts beschreibt ihr Kollege Ronald Maier, Forumsvorsitzender und Vizerektor für Digitalisierung und Wissenstransfer der Universität Wien so: „Wir arbeiten zusammen, um gemeinsam die Schutzniveaus und die Informationssicherheit aller Universitäten zu erhöhen. Die Universitäten gehen diesen Schritt gemeinsam, was maximale Synergien und maximale Effizienz zur Folge hat.“

Cyber Resilience Plan: Fünf Themenschwerpunkte, fünf Leadunis, ein Ziel

  1. Agreed Upon Practices, TU Graz: Erarbeitung gemeinsamer Richtlinien für die Cybersicherheit; das sind technische, organisatorische und personelle Mindeststandards, die alle Universitäten einhalten sollten. Beispiele: Multifaktor-Authentifizierung, verpflichtende Sicherheitsschulungen;
  2. Awareness und Schulungen, Universität Salzburg: Universitätsübergreifende Umsetzung von Schulungs- und Awarenessmaßnahmen, wie Workshops, Trainings, Selbsternmodule oder Phishing-Awarenessprogramme und Verankerung in den IT-Sicherheits- und Digitalisierungsstrategien der einzelnen Universitäten
  3. Security Operation Center, Wirtschaftsuniversität WienViele Hackerangriffe werden erst erkannt, wenn Zugriffe blockiert sind und Lösegeld verlangt wird. Dabei können sich Eindringlinge schon monatelang, im System befinden. Ein Security Operation Center (SOC) hilft, solche Zugriffe frühzeitig durch die kontinuierliche Analyse (z.B. der Loggfiles) und Überwachung zu entdecken. Ziel dieses Schwerpunkts ist, eine Ausschreibung vorzubereiten und durchzuführen, um solche SOC an einer Universität oder mehreren zu etablieren.
  4. Technische Maßnahmen, TU WienOb Multifaktor-Authentifizierung oder EDR - also Endpoint Detection Response-Software, die erkennt, ob ein Virus vorhanden ist - es gibt viele Möglichkeiten, IT-Systeme technisch zu schützen, diese Lösungen sind aber mitunter kostspielig. Ziel dieses Schwerpunkts ist daher eine gemeinsame Marktrecherche, Produktauswahl und Proof-of-Concept-Umsetzungen durchzuführen.
  5. Sicherheitsüberprüfungen, Universität Wien: Ebenfalls kostspielig sind Sicherheitsüberprüfungen wie Penetrationstests, in denen Firmen professionelles Hacking anbieten, um Sicherheitslücken in den IT-Systemen zu entdecken. Das gilt insbesondere für kleinteilige IT-Systeme mit vielen Servern, wie sie typischerweise von Universitäten betrieben werden. Deshalb soll innerhalb einer Kerngruppe an Universitäten eine Bedarfsanalyse durchgeführt und danach gemeinsame Sicherheitsüberprüfungen entwickelt und entsprechendes Knowhow, Trainings und entsprechende Weiterbildungsangebote aufgebaut werden.

Begleitet wird das Projekt im Projektmanagement, Kommunikation, Koordination durch das Project Support Office von ACOmarket.

Links

Downloads