Warum Hochschulen ihre IT- und Cyber-Resilienz stärken müssen

Von Phil Muncaster • 17 September 2024

Als Hüter hochsensibler persönlicher Informationen und erstklassiger Forschung sind die britischen Hochschulen beliebte Ziele für Cyberkriminelle und Nationalstaaten gleichermaßen. Das sollte Cyber-Resilienz ganz oben auf der Prioritätenliste der CISOs in der Branche. Doch wie der jüngste CrowdStrike-Ausfall gezeigt hat, sollte der Hochschulsektor auf mehr als nur Bedrohungsakteure vorbereitet sein.

Cyber-Resilienz ist ein wesentlicher Bestandteil der Geschäftskontinuität, aber es gibt auch andere Risiken für die von Hochschulen verwalteten Informationen und die von ihnen bereitgestellten Dienste, die ebenfalls gemanagt werden müssen. Glücklicherweise kann ISO 27001 auch helfen, indem es die Verfügbarkeit, Vertraulichkeit und Integrität von Informationssystemen im Falle einer unerwarteten Störung schützt.

Was ist passiert?

Beschrieben als möglicherweise der schlimmste IT-Ausfall der WeltDer CrowdStrike-Vorfall war auf ein fehlerhaftes Update des Endpoint-Security-Tools Falcon des Unternehmens zurückzuführen, das weitreichende Probleme mit Microsoft Windows-Computern verursachte, auf denen die Software ausgeführt wurde. Obwohl weniger als 1 % der weltweiten Windows-Endpunkte betroffen waren, entsprach dies über acht Millionen Maschinen – von denen viele kritische Dienste in Krankenhäusern, Fluggesellschaften und Hochschulen betrieben.

Laut einer Berichtewaren die Dienste an britischen Hochschulen, darunter an den Universitäten Manchester, East Anglia, Oxford Brookes, Lancaster und Aston, von dem Ausfall betroffen. Viele andere Auch auf der anderen Seite des Atlantiks waren die Studentenportale nicht erreichbar und einige mussten Sommerkurse schließen. Hätte sich ein ähnlicher Vorfall während der Vorlesungszeit ereignet, wären die Störungen möglicherweise noch viel schlimmer gewesen.

Resilienz aufbauen

Britische Universitäten sind seit einiger Zeit in der Defensive gegenüber Bedrohungsakteuren. Laut der Regierung97 % der Hochschulen haben im vergangenen Jahr einen Sicherheitsverstoß oder Cyberangriff festgestellt, wobei sechs von zehn angaben, davon negativ betroffen gewesen zu sein. Eine Kombination aus komplexen verteilten Netzwerken und einer großen Zahl von Mitarbeitern und Studenten, die einen offenen Internetzugang benötigen, bietet eine ausgedehnte Angriffsfläche, die es zu verteidigen gilt. Ransomware, Phishing, staatlich unterstützter Datendiebstahl und Betrugsmaschen zum Diebstahl von Informationen sind weit verbreitet. Und der anhaltende finanzielle Druck macht es für CISOs schwierig, Prioritäten zu setzen, worauf die Ausgaben konzentriert werden sollten.

Experten sind jedoch der Meinung, dass der CrowdStrike-Vorfall ein Katalysator für eine breitere Diskussion über IT-Resilienz sein sollte, die über die Prävention, Erkennung und Reaktion auf böswillige Cyber-Vorfälle hinausgeht. Laut Chris Gilmour, CTO des IT-Managed-Services-Unternehmens Axians UK, sollte die Planung für solche Ereignisse neben den üblichen Cyber-Hygiene-Grundlagen wie Patching, Multi-Faktor-Authentifizierung (MFA) und Einschränkung des Netzwerkzugriffs erfolgen.

„Regelmäßige Tests von Notfallwiederherstellungsplänen und Notfallplanungen für unerwartete Herausforderungen sind unerlässlich, um sicherzustellen, dass sie im Krisenfall wirksam sind“, sagt er gegenüber ISMS.online. „Es ist auch unglaublich wichtig, bei Mitarbeitern und Studenten eine Kultur des Sicherheitsbewusstseins zu fördern, die dazu beitragen kann, Sicherheitsverletzungen zu verhindern und ihre Auswirkungen abzumildern.“

Bharat Mistry, technischer Direktor bei Trend Micro UK &I, fügt hinzu, dass die Geschäftskontinuitätspläne von Hochschulen IT, Kommunikation, Datenzugriff und Lehre abdecken sollten.

„Diese Pläne sollten kritische Funktionen und Systeme identifizieren, klare Verfahren zur Aufrechterhaltung wesentlicher Betriebsabläufe bei Störungen skizzieren und Rollen und Verantwortlichkeiten für Notfallteams definieren, einschließlich Kommunikationsprotokollen für die Beteiligten“, sagt er gegenüber ISMS.online.

„Es sollten auch regelmäßig Übungen und Simulationen durchgeführt werden, um Geschäftskontinuitätspläne zu testen und Schwachstellen zu identifizieren. So wird sichergestellt, dass die Mitarbeiter darauf vorbereitet sind, bei echten Vorfällen effektiv zu reagieren.“

Technologie- und Sicherheitsverantwortliche im Hochschulbereich sollten auch die von ihnen genutzte IT-Infrastruktur berücksichtigen. Mistry empfiehlt Cloud-basierte Lösungen, um Zugänglichkeit, Lastausgleich und Failover sicherzustellen und so die Serviceverfügbarkeit aufrechtzuerhalten, sowie hybride Cloud-Architekturen, um das Risiko auf mehrere Umgebungen zu verteilen.

„Vermeiden Sie eine übermäßige Abhängigkeit von einem einzigen Anbieter oder System. Die Implementierung redundanter Systeme und die Diversifizierung kritischer Dienste können dazu beitragen, den Betrieb aufrechtzuerhalten, wenn ein System ausfällt“, fügt er hinzu. „Dazu gehört die Verwendung mehrerer Cybersicherheitslösungen verschiedener Anbieter, die Aufrechterhaltung von Offline-Backups kritischer Daten und Systeme sowie die Implementierung redundanter Netzwerkverbindungen und Stromversorgungen.“

Sowohl Gilmour als auch Mistry befürworten auch Post-Mortem-Analysen nach Vorfällen, um sicherzustellen, dass die IT-Teams aus schwerwiegenden Sicherheitsverletzungen und -ausfällen lernen. Diese können dazu beitragen, „eine gründliche Analyse der Vorfälle zu liefern, die Grundursachen aufzudecken und Bereiche für Prozessverbesserungen hervorzuheben“ und „eine Kultur der Verantwortlichkeit und des kontinuierlichen Lernens in der gesamten Organisation zu fördern“, sagt Mistry.

ISO 27001 und darüber hinaus

Die Frage ist: Wo soll man anfangen? ISO 27001 und Cyber Essentials sind vielen IT- und Sicherheitsverantwortlichen als Mittel zur Verbesserung der grundlegenden Cyber- und Informationssicherheit bekannt. Während sich letzteres auf technische Kontrollen für internetbasierte Systeme zur Minimierung des Cyberrisikos konzentriert, bietet ISO 27001 wohl mehr, was auch in die Geschäftskontinuitäts-/Notfallwiederherstellungsplanung eingebunden werden kann.

Hierzu gehören Schlüsselbereiche wie:

Lieferantenrisikomanagement
Reaktion auf Vorfälle
Kommunikation mit internen und externen Stakeholdern/Kunden
Softwaretest
Angestellten Training

Mit ISO 27001 als Ausgangspunkt könnten Hochschulorganisationen ihre Cyber-Resilienz stärken und gleichzeitig die Grundlage für einen umfassenderen Ansatz zur allgemeineren IT-Resilienz schaffen.

„Durch die Einführung dieser Standards können Universitäten einen systematischen Ansatz für Risikomanagement, Vorfallreaktion und Datenschutz etablieren. Diese Frameworks bieten eine umfassende Reihe von Best Practices, die Organisationen dabei helfen können, Schwachstellen zu identifizieren und zu beheben, ihre Widerstandsfähigkeit zu verbessern und gesetzliche Anforderungen zu erfüllen“, sagt Gilmour von Axians UK.

„Durch die Übernahme und Umsetzung der Prozesse und Richtlinien dieser Standards können Universitäten ihre Cybersicherheitslage deutlich verbessern und ihre sensiblen Daten und Abläufe schützen.“

Mistry von Trend Micro fügt hinzu, dass viele Organisationen mit Cyber Essentials beginnen und dann mit dem „umfassenderen“ ISO 27001-Standard darauf aufbauen, um die Sicherheit und Widerstandsfähigkeit weiter zu verbessern.

„Frameworks wie ISO 27001 und Cyber Essentials spielen eine entscheidende Rolle beim Aufbau von IT- und Cyber-Resilienz und bieten Unternehmen einen strukturierten Weg zur Verbesserung ihrer Sicherheitspraktiken“, so sein Fazit. „Durch die Nutzung dieser Frameworks können Unternehmen ihre Fähigkeit zur Vorbeugung, Erkennung, Reaktion und Wiederherstellung von Cyber-Vorfällen systematisch verbessern und so letztlich ihre allgemeine Cyber-Resilienz stärken.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster