IT-Sicherheit

Interview: Wie sich die Uni Tübingen gegen Hacker schützt

Immer öfter versuchen Cyberkriminelle durch Angriffe großes Geld zu verdienen. Thomas Walter, Leiter des Rechenzentrums der Uni Tübingen, erzählt, warum Universitäten von Haus aus besonders vulnerabel für Attacken sind und was die Universität Tübingen dagegen unternimmt.

31.01.2023

Von Miri Watson

Thomas Walter, Leiter des Uni-Rechenzentrums, arbeitet immer zwischen den Jahren, weil es dann oft Cyberattacken gibt. Bild: Miri Watson

Thomas Walter, Leiter des Uni-Rechenzentrums, arbeitet immer zwischen den Jahren, weil es dann oft Cyberattacken gibt. Bild: Miri Watson

Die gesamte Informationstechnik einer gigantischen Organisation wie der Universität Tübingen zu verwalten und zu schützen – das ist eine herausfordernde Aufgabe. Thomas Walter, der Leiter des Rechenzentrums, macht sie mit Freude. Seitdem kürzlich eine Sicherheitslücke auf einer Uniwebseite bekannt wurde, muss er noch genauer schauen, wie er das Uni-Netzwerk schützen kann. Im TAGBLATT-Gespräch erzählt er davon.

Sie haben ja sehr schnell reagiert, als Sie erfahren haben, dass es eine Sicherheitslücke gibt.

Bei mir kam die Information am 4. Januar um 9.19 Uhr an. Hier war das die ruhige Zeit. Aber seit 2019 arbeite ich zwischen den Jahren komplett durch – weil es einfach eine gefährliche Zeit ist. 2019 begannen die ersten großen Angriffe von Cyberkriminellen und so um Weihnachten herum sehen wir sehr, sehr viele Angriffe. Weil wir unser Netzwerk genau beobachten, konnten wir für Tübingen bisher viel abwehren.

Was waren Ihre ersten Schritte, als Sie von dem Sicherheitsproblem erfuhren?

Bis um zehn oder elf hatten wir das System vom Netz getrennt und dann erst mal analysiert, was genau passiert ist. Wir konnten ziemlich schnell reagieren.

Wenn ein Angreifer diese Sicherheitslücke gefunden hätte, dann hätte er auf einen Uniserver zugreifen können?

Allein die betroffene dezentrale Webseite war zugänglich. Man hätte diese Webseite verändern können und auch sehen können, wie die fünf Redakteure heißen – aber die stehen ohnehin auf der Webseite drauf, das war öffentlich. Das hätte auch schlimmer sein können.

Es wäre nicht möglich gewesen, auf die zentrale Uni-Webseite zuzugreifen?

Nein. Die zentrale Uniwebseite ist davon getrennt. Allerdings haben wir in der Zwischenzeit weitere Hinweise auf Lücken in diesem dezentralen Bereich bekommen und die betroffenen Webauftritte erstmal vom Netz genommen. Das komplette Angebot muss grundlegend neu aufgebaut werden.

Welche Präventionsmaßnahmen führen Sie durch, um das Uninetzwerk zu schützen?

Die Sicherheit an Universitäten ist ein Horrorthema. Wir haben 5000 Mitarbeiter und 1500 Gäste. Hinzu kommen 30.000 Studenten jeden Tag hier im Netz mit verschiedensten Geräten. Einen Teil betreuen wir selbst, aber einen Großteil nicht. Und das ist sicherheitsmäßig eine große Herausforderung. Wir pflegen die Freiheit von Forschung und Lehre: Das heißt, wir brauchen für die Forschung verschiedenste Arten von Software, Betriebssystemen und so weiter. Deshalb braucht man ein ganzes Bündel an Sicherheitsmaßnahmen.

Was beinhaltet das zum Beispiel?

Dass man sich selbst probehalber angreift ist eine Sache. Wir haben das schon extern machen lassen und führen solche Tests auch selbst immer wieder durch. Und dann gehört natürlich die Information der Beschäftigten dazu. Updates sind ganz wichtig, sei es der Browser oder das Betriebssystem. Etwa zwei Mal pro Semester verschicken wir eine Informationsmail, zum Thema Phishing. Unser System hat zwar gute Filter, aber die ersten Mails kommen meist durch, bis wir gemerkt haben, dass da etwas im Busch ist.

Wie groß ist das Problem?

Die Universität bekommt pro Tag etwa eine Million oder anderthalb Millionen ernsthafte Mails. Dazu kommt vielleicht noch einmal ein Drittel an Spam, den wir rausfiltern. Das sind schon Mengen.

Wie ist das Uninetz denn aufgebaut?

Ohne studentische Rechner haben wir etwa 22 000 Rechner im Netz. Wir haben 80 Kilometer Glasfaserkabel und insgesamt 165 Gebäude am Netz. Dahinter steht eine sehr komplexe Struktur.

Können Sie die beschreiben?

Ganz grob gibt es große Glasfasernetze in einem Kreis durch Tübingen. Von dieser Hauptbundesbahn führen Leitungen in die Gebäude und von den Gebäuden in die Etagen, bis zum Arbeitsplatz. Der Ring hat zwei Ausleitungen, über die wir in das echte Internet gehen.

Was ist mit der Webseite der Uni?

Es gibt nicht den einen Server der Universität Tübingen, sondern eine sehr komplexe Struktur aus Proxyservern, virtuellen Servern und Datenbanksystemen. Fiele ein Teil aus, könnten die anderen Systeme theoretisch weiterlaufen. Prinzipiell gibt es die zentrale IT und die dezentrale IT. Zur zentralen IT gehört zum Beispiel die Website der Universität mit etwa 100 000 Unterseiten. Diese wird zentral betreut, da merken wir jeden Zugriff.

Und die dezentrale IT?

Wir sind eine Exzellenzuniversität mit vielen Forschungsgruppen. Für diese haben wir verschiedene Dienstleistungen im Angebot: Wir stellen das Basissystem, auf dem dann eigene Dienste aufgesetzt werden. Da kann ich nicht sagen, alle erhalten Windows 11 in der gleichen Version. Die Forscherinnen und Forscher brauchen freie Systeme, sie müssen Dinge ausprobieren können. Das ist unendlich vielfältig, weit gefächert und damit auch schwer zu überblicken. Nach dem Vorfall haben wir gemerkt, dass wir in diesem Bereich unsere Politik noch einmal überdenken müssen.

Inwiefern?

Da kommen wir eigentlich zu der Kernfrage. Sicherheit und freie Forschung und Lehre sind gelegentlich ein Widerspruch. Alles, was wir hier tun, ist eine Art Spagat. Ein Versuch, das gesunde Augenmaß zu finden. Ich kann natürlich sagen, wir machen die Uni total dicht und verbieten alles. Dann sind wir irgendwann keine Exzellenzuniversität mehr, denn dann gibt es hier keine Forschung mehr und keine Kontakte. Ich kann natürlich sagen, wir wollen alles mit allen teilen und geben alles frei – und dann sind wir in der Gefahr gehackt zu werden und es ginge hier auch nichts mehr.

Deswegen also ein Spagat.

Unsere Aufgabe ist, einen Kompromiss zu finden, so dass ein gutes Arbeiten möglich ist, aber auch ein sicheres Arbeiten. Momentan verschiebt sich die Grenze mehr weg von der Freiheit, in Richtung der strengeren Vorgaben. Prinzipiell ist es so: Universitäten sind auf Grund ihrer Struktur verwundbare Wesen was die IT-Sicherheit betrifft. Das liegt in ihrer Natur.

Welches Budget haben Sie jährlich für die Sicherheit zur Verfügung?

Die Frage hat keine klare Antwort. Ich habe kein Budget für IT-Sicherheit, das sich von allem anderen trennen lässt. Im Prinzip muss jeder meiner Mitarbeitenden jeden Tag an IT-Sicherheit denken. Von daher ist die IT-Sicherheit ein verdeckter Kostenfaktor für die gesamte Universität in allen Bereichen. Ich würde mal sagen, vom Gesamtetat der IT fallen hier etwa 20 Prozent direkt oder indirekt an Sicherheitskosten an. Und für die ganze Universität schätze ich den Anteil auf etwa fünf Prozent.

Welche Angriffe könnte es überhaupt geben?

Ich unterscheide zwischen drei Ebenen von Angriffen. Die erste Ebene sind die Kleinkriminellen. Das könnten beispielsweise Schüler oder Studenten sein, die mal versuchen, ob sie da etwas ausrichten können. So etwas ist ärgerlich, aber in der Regel merken wir das schnell.

Was ist die zweite Ebene?

Das sind die Großkriminellen. Das sind die, die Millionenbeträge erbeuten wollen, die fürchten wir. Die beispielsweise nicht nur einen Rechner sondern die komplette Universität professionell verschlüsseln. Das kann schon mal schlaflose Nächte bereiten. Aber im Prinzip gibt es an den Unis nicht viel zu verdienen, die zahlen richtigerweise nicht. Wenn Cyberkriminelle hier ein lukratives Geschäftsfeld wittern würden, hätten wir wenig Chancen dies abzuwehren.

Und die dritte Ebene?

Die dritte Ebene sind Geheimdienste. Ich gehe davon aus, dass wir einen guten geheimdienstlichen Angriff nicht oder viel zu spät erkennen würden. Wenn jemand wirklich die Netzwerkkomponente infiltrieren könnte – da hört unser Wissen auf. Das ist aber Spekulation. Wenn wir sowas abwehren wollten – ich weiß gar nicht, wer in Deutschland das kann.

Zum Abschluss: Welche Lehren haben Sie aus der Erfahrung mit dem kürzlich bekannt gewordenen Sicherheitsleck gezogen?

Wir werden nochmal grundlegend aufräumen. Das war kein Angriff auf den zentralen Bereich. Dennoch werden wir unseren Umgang mit der zentralen und dezentralen IT noch einmal überdenken. Besonders den dezentralen Bereich werden wir uns genauer anschauen. Und dann beispielsweise unter anderem Maßnahmen wie die Zwei-Faktor-Authentifizierung an mehr Stellen als bisher einführen. Das wird nicht nur auf Freude stoßen, aber die Akzeptanz für Sicherheit ist in den vergangenen Jahren deutlich größer geworden.

Die Sicherheitslücke an der Uni Tübingen

Mitte Januar war eine Sicherheitslücke auf einer Website eines älteren Uniprojekts bekannt geworden. Im Rahmen einer Recherche der Wochenzeitung „Die Zeit“ hatte ein Hacker versucht, in die Netze deutscher Universitäten einzudringen, um deren Sicherheit zu überprüfen. Auf der problematischen Website hätte der Hacker sich Admin-Accounts anlegen können – Zugriff hätte er aber nur auf diese Website; nicht auf andere Teile des Netzwerks gehabt. Während andere Universitäten nicht oder erst spät reagiert haben, nahm die Universität Tübingen sofort die betroffene Homepage vom Netz. Mittlerweile hat das IT-Team Nachforschungen angestellt und herausgefunden, dass auch andere dezentrale Seiten ein Risiko hätten sein können.