Schwachstelle Bildungseinrichtungen
Universitäten als (zu) leichte Opfer
Immer mehr Universitäten werden zur Zielscheibe für Cyberkriminelle. Warum das kein Zufall ist – und welche Strategien jetzt dringend gefragt sind.
Die zunehmende Bedrohung durch Cyberangriffe verschont nicht mal Hochschulen. Die jüngste Welle traf Einrichtungen wie die Hochschule Kempten, die Universität der Bundeswehr München und andere wie die Frankfurt University of Applied Sciences. Diese und ähnliche Vorfälle sind ein Symptom für eine größere Schwachstelle. Inzwischen lässt sich ein Muster beobachten, bei dem sogar bevorzugt Bildungseinrichtungen als Ziele identifiziert werden. Die Gründe dafür können unterschiedlich sein. Vielleicht nehmen Cyberkriminelle an, dass Hochschulen grundsätzlich schwächer geschützt werden, mehr sensible Daten beherbergen oder ein erfolgreicher Angriff sogar zu einer Unterbrechung kritischer Forschungen führen kann.
Dies ist nicht nur ein deutsches Problem. Die Vernetzung der globalen Forschung und Bildung bedeutet, dass sich eine Schwachstelle auf das gesamte Ökosystem auswirkt. Die Hochschuleinrichtungen müssen sich fragen: Sind wir auf die Auswirkungen dieser Sicherheitsverletzungen vorbereitet? Denken wir strategisch über die langfristigen Folgen nach?
Die Vorfälle und dieser Trend erfordern einen grundlegenden Wandel des Cybersicherheits-Konzepts von Hochschulen. Dabei geht es nicht nur um das Ausbessern von Schwachstellen, sondern darum, das Fundament der digitalen Ökosysteme im Hochschulbereich neu zu gestalten.
Das Hochschul-Barometer 2024 untersucht die größten Herausforderungen für deutsche Hochschulen in Bezug auf digitale Infrastruktur und Sicherheit. Sie offenbart eine kritische Diskrepanz. Während die Hochschulleitungen die Realität der Cyber-Bedrohungen anerkennen (97,3 Prozent), unterschätzen viele das Risiko für ihre eigenen Einrichtungen (62,5 Prozent). Diese Mentalität, dass einem selbst schon nichts passieren wird, ist ein gefährlicher Trugschluss. Sie führt zu unzureichenden Risikobewertungen, unzureichenden Schulungen und einem eher reaktiven als proaktiven Ansatz.
Die Delegation von allen Cybersicherheitsthemen an die IT-Abteilungen ist die Folge. Cybersicherheit sollte ein strategisches Programm sein, das von der Hochschulleitung vorangetrieben wird und in der IT-Sicherheitskultur der Einrichtung verwurzelt ist.
Die im Hochschul-Barometer-Bericht hervorgehobenen Probleme spiegeln auch die globalen Bedenken wider. Sie werden im aktuellen EDUCAUSE-Bericht 2025 hervorgehoben. Im Ergebnis betonen die Autoren die Notwendigkeit von Zusammenarbeit und gemeinsame Rahmenwerke. Die Häufigkeit und Schwere der Angriffe in Deutschland machen jedoch dringende Maßnahmen erforderlich.
Universitäten und andere Hochschuleinrichtungen müssen über die bloße Einhaltung von Vorschriften hinausgehen und eine Kultur der Cyberresilienz einführen. Das bedeutet nicht nur Firewalls und Antivirensoftware, sondern auch die Förderung eines Bewusstseins für Sicherheit auf allen Ebenen. Anstatt potenzielle Schwachstellen zu sein, müssen Mitarbeiter und Studenten in die Lage versetzt werden, Teil der Cyberabwehr zu werden.
Aufbau einer Cyberresilienten Zukunft
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unternimmt erste Schritte, allerdings erfordert diese Initiative einen kooperativen, vielschichtigen Ansatz. Die Hochschuleinrichtungen brauchen:
- Eine gemeinsame Vision für Cybersicherheit: Es braucht also die Etablierung eines gemeinsamen Verständnisses von Cyberrisiken und eines standardisierten Bewertungsrahmens für alle Institutionen.
- Befähigte Mitarbeiter und Studenten: Sie müssen über grundlegende Security Awareness-Trainings hinaus eine starke IT-Sicherheitskultur schaffen. Jeder Mitarbeiter und Student muss seine Rolle beim Schutz der Daten verstehen.
- Strategische Führung: Chief Information Security Officers (CISOs) sollten mit den nötigen Befugnissen und Ressourcen pro Hochschule ernannt werden. Sie können dann Cybersicherheitsprogramme vor Ort und in Abstimmung mit der IT-Abteilung vorantreiben.
- Proaktive Bedrohungsanalyse: Sie müssen Systeme implementieren, um Angriffe zu antizipieren und zu verhindern, anstatt nur auf sie zu reagieren.
- Menschliches Risikomanagement als Priorität: Eine Konzentration auf die Security Awareness-Trainings, einschließlich simuliertem Phishing, und auf Echtzeit-Interventionen, sorgt für eine langfristige Verhaltensänderung und mindern das menschliche Risiko.
- Zusammenarbeit und Wissensaustausch: Darüber hinaus sollten starke Netzwerke für den Austausch von Informationen, bewährten Verfahren und Bedrohungsdaten geschaffen werden.
Fazit
Die Cyberangriffe auf deutsche Hochschulen sind nicht weniger als ein Weckruf und sollten auch so verstanden werden, ein weiter so kann es nicht geben. Sie erfordern ein grundlegendes Umdenken der Hochschulen in Sachen Cybersicherheit. Es geht nicht nur um den Schutz von Daten, sondern um die Zukunft von Forschung, Bildung und Innovation. Deutsche Bildungseinrichtungen können widerstandsfähiger und stärker werden, wenn sie einen proaktiven, strategischen und personenzentrierten Ansatz für die Cybersicherheit wählen.
Dr. Martin J. Krämer ist Security Awareness Advocate bei KnowBe4.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Duales Studium
Accadis und Gotoitcareer liefern IT-Pfad für Quereinsteiger
Vier Handlungsfelder für Unternehmen
Cybersicherheit strategisch stärken
KI-Tools für die Lehre
Baustein für bessere Bildung
IT-Security: Unzureichende Ausbildung
Kaspersky-Umfrage: Hochschulwissen wenig praxisgerecht
