Als dann 2019 die ersten Hochschulen durch Ransomware in Gänze verschlüsselt wurden, war klar, dass wir auch unsere technischen und organisatorischen Verteidigungsmaßnahmen weiter verbessern müssen. Wir begannen mit freiwilligen Schulungsangeboten (Awareness für Mitarbeitende). Die Stabsstelle IT-Sicherheit begann außerdem über die Pressestelle bei besonders gefährlichen Phishing-Wellen erklärende Warnmails zu versenden, um unbekannte KU-Opfer bei vertrauensvoller Diskretion dringend zur Meldung zu ermutigen, wodurch wir die interne Weiterverbreitung von Schadmails meist verhindern konnten und gleichzeitig ein gutes Vertrauensverhältnis zu unseren Kollegen und Studierenden aufbauen konnten.
Zur Verbesserung der technischen IT-Sicherheit wurde uns klar, dass wir einen Schutz brauchen, der auf folgenden drei Säulen beruht:
- Der Netzverkehr zwischen KU und Internet, aber auch der interne Netzverkehr muss besser geschützt werden, und zwar mit einer geeigneten Next Generation Firewall-Lösung, die auch auf Anwendungsebene (oberste Netzwerkschicht) Schädlinge erkennt.
- Die zweite Säule ist ein verbesserter Schutz vor Phishing-Mails (mit Quarantäne-Möglichkeit und Sandbox zur Live-Untersuchung von Anhängen und verdächtigen Links). Denn E-Mails sind das Haupteinfallstor für Hacker und Schädlinge.
- Um auch noch unsere Endgeräte und Server nach Stand der Technik schützen zu können, war klar, dass unsere in die Jahre gekommene Sophos-Lösung nicht mehr ausreicht und wir einen erweiterten, verhaltensbasierten Endgeräte-Schutz mit Managed Service für alle Server, Mitarbeitenden-PCs und MACs) benötigen. Dieser Schutz hilft auch noch, wenn über den sicher verschlüsselten Standardbrowser gefährliche Web-Downloads von den eigenen Browsern auf Ihrem PC landen und zur Ausführung kommen.
Ideal ist dann noch, wenn die drei Säulen ihre Erkenntnisse/Funde in einem gemeinsamen Datensee zur gegenseitigen Verfügung und Auswertung ablegen.
Vor der Umsetzung dieses Ansatzes waren noch einige Hürden zu überwinden: Nach mehreren POCs verschiedener Firewall-Hersteller wurde im Jahr 2021 ein Großgeräte-Antrag bei der DFG gestellt und genehmigt und im Jahr 2024 auf Basis der zwischenzeitlich durchgeführten Netz-Neuplanung, eine Ausschreibung für NGFW und E-Mail-Schutz durchgeführt. Der Endgeräteschutz SentinelOne Complete (inklusive Managed Service) konnte ohne Ausschreibung direkt beschafft werden, da das HITS IS in Bayern federführend für alle bayerischen Hochschulen (auch unter technischer Beteiligung der Stabsstelle IT-Sicherheit der KU) eine erfolgreiche Ausschreibung des obigen Anforderungsprofils mit exzellentem Endergebnis durchgeführt hatte:
- Ergebnis: Avency als Partner mit Forcepoint NGFWs + Fortimail (für je 5 Jahre)
- Endpunkt-Lösung SentinelOne inkl. Managed Service (MDR) konnte zu sehr fairen Konditionen durch bayerische Landesausschreibung, an der die KU durch Herrn Brandel fachlich beteiligt war, direkt für 5 Jahre beschafft werden.
Inzwischen sind wir am Ende des Roll-Outs:
- SentinelOne ist auf fast allen Endgeräten und Servern der KU ausgerollt, derzeit ist es auf 903 Endgeräten installiert. Von den Geräten laufen 848 unter Windows, 37 unter macOS, 17 unter Linux und 1 unter Legacy Windows.
- Fortimail ist ebenfalls ausgerollt, d.h. in den beiden Mail-Domänen stud.ku.de sowie ku.de
- Der Roll-out der Next Generation Firewalls folgt im September 2025, weil die Netzumstrukturierung inklusive Austausch der Core-Router sich verzögert hatte.
- Danach (bis zum Jahresende) sollen die Ergebnisse der drei Säulen im Data Lake von SentinelOne oder in einem SIEM zusammengeführt werden.
- Ergänzend werden KU-seitig durch S. Zarinshad und von außen durch das HITS-IS Schwachstellenscans auf KU-Systemen durchgeführt, die anschließend von den betroffenen Systemverantwortlichen gepatcht werden.
Weitere Aufgaben für die Zukunft
- Intensivere Umsetzung der Informationssicherheit als Prozess (Plan, Do, Check, Act):
- Absicherung des Regel-Geschäftsbetriebs nach dem IT-Grundschutz-Profil für Hochschulen (vorgestellt auf der HRK 2019, erweitert 2022), siehe https://www.zki.de/fileadmin/user_upload/Downloads/IT_Grundschutz_ZKI_2022_Final.pdf,
- Sicherere Geschäftsfortführung im Notbetrieb und Pläne zur schnellen Rückkehr in den Normalbetrieb nach einem Ausfall (nach BCM-Profil für Hochschulen, 2025) siehe https://ak-itsm-share.zki.de/s/mSJQakxzB7jzqYe?dir=/&editing=false&openfile=true
Bei beiden Profilen waren unter Leitung des BSI ca. 50 deutsche Hochschulen beteiligt. Unser IT-Sicherheitsbeauftragter B. Brandel war als Sprecher des Arbeitskreises Informationssicherheit der deutschen Hochschulen im ZKI (AK-SEC) mit federführend.
- Weiterführung der guten Vernetzung der KU auch in der Informationssicherheit, v.a.
- in Bayern (HITS-IS und AG der Informationssicherheitsbeauftragten in Bayern)
- deutschlandweit im AK-SEC des ZKI, dem Verein der deutschen Hochschul-Rechenzentren und mit dem BSI und dem DFN.