Navigation auf uzh.ch
Navigation auf uzh.ch
Ransomware, DDoS, Datendiebstahl, Datenverlust: In den vergangenen Jahren sind Hochschulen verstärkt ins Visier von Cyberkriminellen geraten. Auch die Universität Zürich war im Frühjahr dieses Jahres von einem Cyberangriff bedroht. Für Hacker:innen sind Universitäten gleich aus mehreren Gründen attraktiv: Zum einen lagern auf Rechnern und Servern Unmengen an wertvollen Daten – von Studierenden, Lehrenden, Mitarbeitenden und Forschenden. Zum anderen verfügen sie über komplexe Computer- und Netzwerksysteme, die wegen ihrer immensen Grösse schwer ganzheitlich zu überwachen sind. Darüber hinaus stehen diese Systeme in einem Spannungsverhältnis mit einer offenen akademischen Gemeinschaft mit regem Wissensaustausch, zahlreichen benutzerfreundlichen Diensten für Studierende und Universitätsangehörige und den entsprechenden Ressourcen, die für diese Lösungen zur Verfügung gestellt werden müssen.
Nach der Cyberattacke auf die IT-Systeme der UZH hat der Chief Information Security Officer (CISO), Oliver Schmid, eine gross angelegte Awareness-Kampagne gestartet, um UZH-Angehörige für die Bedrohungen im Cyberspace zu sensibilisieren und über sinnvolle Schutzmassnahmen zu informieren (siehe Artikel vom 10.07.2023).
Um die Resilienz gegenüber Cyberangriffen zu stärken, müssen alle UZH-Angehörigen an einem Strick ziehen. IT-Sicherheit geht jeden Einzelnen etwas an.
Die meisten Arbeitnehmer:innen können heutzutage ohne PC gar nicht mehr arbeiten. Das Beherrschen der gängigen Softwareprogramme sowie grundlegende IT-Kenntnisse werden in den meisten Jobs vorausgesetzt. Den Umgang mit Risiken, die ein elektronischer Arbeitsplatz mit sich bringt, hat man dagegen lange Zeit den IT-Spezialisten überlassen. Mittlerweile richten sich verschiedene Arten von Cyberangriffen aber gezielt an einzelne Mitarbeiter:innen eines Unternehmens, einer Institution oder einer Hochschule und zielen dabei auf ein wichtiges Gut: unsere Informationen. Diese Angriffe können über verschiedene Kanäle erfolgen, von E-Mails bis hin zu Social-Media-Plattformen, und zielen darauf ab, Mitarbeitende dazu zu verleiten, sensible Informationen preiszugeben oder Schadsoftware zu installieren.
Aus diesem Grund sollte es heute selbstverständlich zum Skillset von Arbeitnehmenden gehören, IT-Geräte sicher und verantwortungsbewusst einzusetzen, sich mit Hackerangriffen wie Phishing-E-Mails, Social-Engineering-Angriffen und Voice-Phishing-Anrufen auszukennen und Reaktionen entlang der geltenden IT-Sicherheitsregeln zu beherrschen.
Ganz genau. Um die Resilienz gegenüber Cyberangriffen zu stärken, müssen alle Angehörigen einer Institution, in diesem Fall der UZH, an einem Strick ziehen. Gerade weil die Angriffsfläche für Hacker:innen bei einer dezentralen IT-Infrastruktur, wie sie an Hochschulen vorkommt, gross ist. Und weil es für Cyberkriminelle oft der einfachste Weg ist, über einzelne Mitarbeitende in ein Netzwerk einzudringen und sensible Daten zu stehlen oder unbrauchbar zu machen.
Klar ist, dass wir uns nicht nur auf technische Abwehrmassnahmen verlassen können, die viele Ressourcen binden und kostenintensiv sind. Informationssicherheit ist ein Zusammenspiel von fachlichen Anforderungen, technischen Massnahmen der IT und der IT-Sicherheit sowie der Awareness aller Angestellten – und es ist eine Daueraufgabe, die kontinuierlich für Herausforderungen sorgt. Es braucht uns alle, um die Angriffsfläche der UZH möglichst klein zu halten.
Meine Pflicht als CISO ist es, die Universitätsleitung und andere Führungskräfte auf strategische IT-Risiken hinzuweisen, die Massnahmen im Sinne eines Risikomanagements auf die tatsächliche Bedrohungslage und die bestehenden Resilienzen zu priorisieren und mögliche erweiterte Sicherheitsvorkehrungen oder technische Neuinvestitionen zu empfehlen; darüber hinaus liegt es auch in meiner Verantwortung dafür zu sorgen, dass jede und jeder Einzelne unserer diversen UZH-Community alle nötigen Informationen rund um das Thema Cybersicherheit erhält.
Es liegt im Interesse jedes und jeder Einzelnen, sich mit möglichen Bedrohungen aus dem Internet auseinanderzusetzen – vom angeeigneten Wissen profitiert man ja auch als private Userin und User. Darüber hinaus liegt es aber auch in der Verantwortung der Führungsebenen ihre Mitarbeitenden entsprechend zu unterstützen und sie beispielsweise auf unsere Website und auf die verschiedenen Kursangebote aufmerksam zu machen.
Auf unserer Website stehen alle notwendigen Informationen zum Thema zur Verfügung. Die wichtigsten IT-Regeln für den universitären Alltag haben wir in übersichtlichen Flyern zusammengefasst («Die 10 goldenen Regeln der IT-Sicherheit», «CheatSheet Passwörter»). In verschiedenen kurzen Videos erklären wir ausserdem, wie Cyberkriminelle arbeiten, wie Malware wie Cryptolocker funktionieren, was Social Engineering ist, warum wir bestimmte technische Sicherheitsmassnahmen anwenden müssen und was wir selbst zu einer besseren Resilienz beitragen können.
Tatsächlich kann ein angeklickter Link in einem Phishing-E-Mail und die darauffolgende Eingabe von Login und Passwörtern einen Angriff auslösen oder zumindest unterstützen. Damit dies für die Hacker:innen zum Erfolg führt, müssen aber noch andere Hürden überwunden werden. Unsere Cyberabwehr besteht aus verschiedenen Ebenen und Massnahmen. Daher führen wir vergangene Cybervorfälle nicht auf den einen, anfänglichen Klick auf eine Phishing-E-Mail zurück, sondern arbeiten den Vorfall mit einem ganzheitlichen Ansatz auf. Jemanden für das Anklicken eines Links zur Rechenschaft zu ziehen, macht keinen Sinn. (Siehe dazu einen Artikel von CyrenZH, einer Kooperation von UZH und ZHAW für den Kanton Zürich)
Allerdings können wir alle unseren Beitrag dazu leisten, Angreifern keinesfalls unsere Logindaten zu liefern – indem wir Sicherheitsansätze in alle Vorhaben einbeziehen, eine gewisse Sensibilität für die Gefahren des Internets entwickeln und uns achtsam im Umgang mit Daten und E-Mails verhalten.
Wird eine Phishing-E-Mail direkt erkannt, kann es der IT-Sicherheit der ZI gemeldet und getrost gelöscht werden. Wurde der Link bereits angeklickt oder wurden bereits Logindaten eingegeben, sollte die Person sich umgehend bei der IT-Sicherheit der ZI melden oder das Helpdesk kontaktieren. Je früher desto besser, denn dann kann gegebenenfalls noch verhindert werden, dass die gestohlenen Logindaten verwendet werden oder die installierte Malware aktiviert wird. Das gleiche Vorgehen gilt auch für andere Medien, zum Beispiel für Telefone. Meist haben Mitarbeitende bei solchen Social Engineering Angriffen ein komisches Bauchgefühl. Es lohnt sich, sich anzugewöhnen, auf dieses zu hören und angemessen zu reagieren. Das ist aber auch eine Übungssache.
Die Verantwortung für Cybersicherheit verteilt sich auf alle hierarchischen Führungsebenen. Jedoch sind Mitarbeitende für ihre eigenen Handlungen entsprechend ihrer Position verantwortlich, insbesondere, wenn sie fahrlässig, vorsätzlich oder regelwidrig handeln. Wer versehentlich, also nicht vorsätzlich auf eine Phishing-E-Mail hereingefallen ist oder die IT-Sicherheitsregeln unabsichtlich anderweitig verletzt hat, wird nicht für den möglicherweise daraus entstandenen Sicherheitsvorfall verantwortlich gemacht. Allerdings kann es sein, dass jemand von der operativen IT-Sicherheit auf den entsprechenden Mitarbeitenden zukommt, um wichtige Informationen zur Bekämpfung solcher Vorfälle zu erhalten.
Die Awareness von Personen für ein bestimmtes Thema zu messen, ist tatsächlich eine Herausforderung. Oft wird mit Fake-Phishing-E-Mails geprüft, wie sensibel die Mitarbeitenden für diese Form von Cyberangriffen sind. Diese Messmethode eignet sich aber schlecht für die Erfassung dieses komplexen Themas und generiert auch selten eine Verbesserung der Awareness. (Siehe dazu eine Studie der Ruhr-Universität Bochum)
Bei solchen Massnahmen geht es häufig eher darum, ein Sicherheitsgefühl zu schaffen als die Realität tatsächlich zu verbessern. Ich versuche diese sogenannten false-best-practices zu vermeiden. Ausserdem beteilige ich mich an einer entsprechenden Forschungsarbeit der CyrenZH («Cyber Resilience Network» des Kantons Zürich), die Ansätze zur evidenzbasierten Cybersecurity-Awareness und eine entsprechende Messmethode mit Ansätzen aus der Psychologie entwickeln will. Denn Sicherheitsmassnahmen, ohne effektive Sicherheitswirkung, die zudem die Mitarbeitenden in ihrer Arbeit stören oder gar behindern, sind kontraproduktiv.
Fest steht in jedem Fall: Cyberbedrohungen sind real und erfordern reale Sicherheit. Und da die Realität komplex ist, sind es auch die Lösungen.
