„Globale Hackerwelle trifft Deutschland“, „Cyberattacke auf IT-Dienstleister des Bundes“, „Hacker stehlen Patientendaten“ – was nach einer Inhaltsbeschreibung für den nächsten Serienhit klingt, ist bittere Realität. Kriminalität im digitalen Raum nimmt Jahr für Jahr zu. Das belegen nicht nur die sich häufenden Schlagzeilen, sondern auch die Statistik des Bundeskriminalamts sowie die Jahresberichte des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland. Für mehr Sicherheit in gesellschaftlich relevanten Bereichen, in denen sensible Daten verwaltet und infrastrukturell notwendige Prozesse gesteuert werden, entwickelt und forscht das netlab-Team der Hochschule Harz. Das Expertenwissen ist sowohl im Land gefragt als auch auf nationalem und internationalem Terrain.

Im Interview erzählt Leiter Prof. Dr. Hermann Strack, der zudem Koordinator des CyberSecurity-Verbunds Sachsen-Anhalt ist, von bisherigen Erfolgen und seinen Bestrebungen für mehr gesicherte Digitalisierung beispielsweise im Bildungssektor, in Behörden und Unternehmen. Zudem verdeutlicht er den generell hohen Bedarf von IT-Sicherheit am Beispiel der sich zum zweiten Mal jährenden ersten deutschen Cyberkatastrophe – dem Hackerangriff auf die Landkreisverwaltung von Anhalt-Bitterfeld.

Vor knapp zwei Jahren – im Juli 2021 – wurde die Landkreisverwaltung von Anhalt-Bitterfeld von Hackern lahmgelegt. Der Vorfall gilt als erste Cyberkatastrophe in Deutschland. Wie konnte es dazu überhaupt kommen?

Sicherheitssysteme in Behörden und Unternehmen müssen heutzutage sehr hohe Hürden für Angreifer bieten. Das ist leider oft nicht der Fall, weil das Risiko unterschätzt wird und die Einstellung vorherrscht, die aktuellen Vorkehrungen würden ausreichen. Das ist bildlich gesprochen, als würde man Sandburgen bauen, um sich für eine Überschwemmung zu wappnen, dabei braucht es stabile Deiche. Die Verwaltung von Anhalt-Bitterfeld musste das schmerzlich lernen, da sie damals leider nicht gut vorbereitet war, wie wir durch Veröffentlichungen und Austausch mit der sicherheitstechnischen Einsatzleitung des Landes erfahren haben.

Wie waren Sie in die Prozesse nach dem Angriff eingebunden?

Nachdem der Hacker-Angriff bekannt wurde, hat sich der Einsatzleiter des Landes aus dem Ministerium der Finanzen, der übrigens prämierter Bachelorabsolvent des von mir koordinierten Studiengangs für Landesbeschäftigte Informatik/E-Administration im allerersten Jahrgang war, bei mir gemeldet. Da der Ansatz von uns Wissenschaftlern hauptsächlich in der Vorbeugung künftiger Attacken liegt und nicht darin, entstandene Schadenstrümmer zu beseitigen, haben wir entsprechende Hilfe zur weiteren Prävention mit höherem Sicherheitsniveau angeboten. Um eine Wiederholung zu vermeiden, haben wir in Absprache innerhalb des Verbundprojekts CyberSecurity, in dem ich mit dem netlab-Team der Hochschule Harz involviert bin, spezielle Präventionsangebote und Lösungsprototypen entwickelt, auch unter Integration von Abschlussarbeiten von Studierenden.

Wie genau konnten Sie helfen?

Wir haben in enger Abstimmung mit dem Einsatzleiter noch im August 2021 einen halbtägigen Workshop durchgeführt, an dem unter anderem Vertreter aller Verwaltungen der Landkreise, kreisfreien Städte und Gemeindeverbünde aus Sachsen-Anhalt teilgenommen haben. Wir haben sie sicherheitstechnisch und strategisch beraten sowie strukturell darin geschult, wie sich öffentliche Einrichtungen vor Ransomware schützen können. Denn diese eingeschleuste Schadsoftware wurde nachweislich bei dem Angriff in Anhalt-Bitterfeld genutzt. Wiederum ein Jahr später, im August 2022, haben wir in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Ministerium für Infrastruktur und Digitales des Landes Sachsen-Anhalt Vertreter aller Städte und Kommunen, nicht nur auf Landkreisebene, im Rahmen der BSI-Roadshow für Kommunen für das Thema IT-Sicherheit sensibilisiert sowie Lösungszugänge mit erhöhter Sicherheit vorgestellt.

Dabei sind Schlagworte wie Digitalisierung und die damit verbundene Gefahr der Cyberkriminalität schon sehr viele Jahre präsent. Können Vorfälle dieser Art Ihrer Meinung nach trotz der verstärkten Aufklärung wieder passieren?

Leider ja, weil nicht alle Verwaltungen ihr Sicherheitskonzept samt Sicherheitsniveau gut genug anpassen. Denn noch immer herrscht der Irrglaube, dass ein besseres Passwort oder eine Anweisung an die Mitarbeiter, nicht auf seltsame Links in E-Mails zu klicken, ausreichend Schutz bieten. Ob ich ein geeignetes, selbst zusammengesetztes Passwort oder eine zufällige Abfolge an Zahlen, Buchstaben und Sonderzeichen nutze, macht nicht den großen Unterschied im Sicherheitsniveau aus. Wir sprechen hier in beiden Fällen von Sicherheitsstufe „niedrig“. Um die nächste Stufe zu erreichen und den Schutz damit deutlich zu erhöhen, braucht es mindestens eine Zwei-Faktor-Authentisierung. Das heißt, dass neben Nutzername und Passwort ein weiteres Sicherheitsmerkmal abgefragt wird. Das kann beispielsweise ein Code sein, der mittels Smartphone generiert wird. Will man sogar die höchste Sicherheitsstufe erreichen, ist die Einbindung von persönlicher Sicherheitshardware wie zum Beispiel der eID-Online-Ausweis-Funktion, die mittlerweile in jedem Personalausweis integriert ist, notwendig. Ein Hacker wird sich kaum mit seinem eigenen Personalausweis anmelden, um in ein System einzudringen.

Immer wieder sind Schlagzeilen über Datenklau mittels Phishing zu lesen. Es klingt, als fänden Sie die Schulung von Mitarbeitenden in dem Bereich dennoch überflüssig?

Nein, überflüssig sind sie sicher nicht, aber eben nicht das Allheilmittel. Wenn die Sicherheit einer Institution davon abhängig ist, ob ein Nutzer einen schädlichen Link anklickt, dann ist das in meinen Augen die Abwesenheit von professioneller Sicherheit. Kurz gesagt: Dann hat jemand in der IT-Abteilung seinen Job nicht richtig gemacht. Im privaten Bereich ist das was anderes. Wenn Zugangsdaten zu Onlineshops oder gar von Bankkonten durch Unachtsamkeit oder Unwissen in falsche Hände geraten, wird das mitunter ein sehr teurer Denkzettel. Von daher ist eine generelle Sensibilisierung und Aufklärung nie verkehrt. Aber in einer Behörde oder einem Unternehmen müssen Hintergrundsysteme laufen, die solche Phishingmails erkennen und davor schützen. Denn selbst aufmerksame Nutzer können nicht jede betrügerische E-Mail erkennen, weil diese teilweise richtig gut gemacht sind. Die Sorgfaltspflichten nur auf die Mitarbeitenden zu schieben, weckt in meinen Augen ein falsches Verantwortungsbewusstsein.

Was können Institutionen noch tun, um den IT-Schutz zu erhöhen?

Als erster Schritt sollte die eben ausgeführte Zugangsauthentisierung für sensitive Plattformen und Infrastrukturen auf eine höhere Sicherheitsstufe gehoben werden. Das ist noch immer ein Haupteinfallstor für Ransomware-Angriffe. Daran anschließend sollte dringend eine gesicherte Netzsegmentierung erfolgen. Das kann man sich so ähnlich vorstellen wie bei Schotten in einem Schiff. Wird die Außenhülle aufgerissen, wird durch Schließen der Schotten verhindert, dass das gesamte Schiff untergeht. Das kann man analog auch im Netzbereich machen. Wenn es ein Hacker ins System schafft, verliert eine Institution in dem Fall erstmal nur ein Segment und nicht gleich das gesamte Netz. Und die meisten Hacker geben an der Stelle auf. Leider haben meist kleinere Verwaltungen solche Sicherheitssysteme oft nicht, sei es aus Kostengründen oder aus der falschen Annahme, sie würden kein Ziel krimineller Banden sein.

Neben der Beratung von Verwaltungen und Unternehmen im Rahmen des Verbundprojekts CyberSecurity Sachsen-Anhalt liegt der Forschungsschwerpunkt des netlab-Teams der Hochschule Harz speziell im Bereich hochwertiger Authentisierung, Autorisierung und Netzsicherheit unter anderem mittels Einbindung der eID-Funktion des Personalausweises. Abgesehen von der erhöhten Sicherheitsstufe im Bereich Authentisierung, wo kann die Funktion noch nützlich sein?

Die Einsatzmöglichkeiten des elektronischen Identitätsnachweises sind vielfältig. Wir haben beispielsweise die Anwendung eNotar entwickelt, die es ermöglicht, digitale Prüfungsnachweise und Zeugnisbeglaubigungen zu erstellen, wo neben der eID auch qualifizierte Signaturen und Siegel eingesetzt werden, inzwischen per eIDAS TrustServices EU-weit genormt. Eine mögliche Realisierung haben wir bereits bei der Abiturprüfung 2022 zusammen mit dem Martineum-Gymnasium in Halberstadt im Rahmen der gesetzlichen Regeln und unter hohen Sicherheitsstandards erfolgreich getestet. Wenn solche Programme zukünftig flächendeckend genutzt werden würden, wären beglaubigte Zeugnisse, die beispielsweise für die Zulassung zum Studium oder bei Berufsantritt im öffentlichen Dienst gefordert sind, fälschungssicherer. Aktuell kann eine solche Beglaubigung nur auf Papier im Rathaus beantragt werden, wobei die Mitarbeitenden unter Umständen ein gut gefälschtes Zeugnis nicht erkennen und so die Kopie des vermeintlichen Originals beglaubigen. Das ist in der mit eID gesicherten digitalen Version mit hoher Sicherheit nicht möglich. Ein netter Nebeneffekt ist, dass man sich den Weg zum Amt sparen, seinen Nachweis bequem digital abrufen und an die jeweilige Stelle weiterleiten kann. In anderen europäischen Ländern ist das bereits möglich.

Warum hinkt Deutschland in dem Punkt hinterher?

Die eID-Funktion ist in jedem Personalausweis integriert. Daran liegt es nicht. Aber Deutschland liegt nicht nur in der Digitalisierung im Bildungsbereich noch weit zurück, was unter anderem auf die bisherige  Interpretation zum Föderalismus zurückzuführen ist. Bis heute ist es oft Tradition, bei wichtigen Anliegen auf gezeichnetes und gestempeltes Papier zu setzen. Diese Papierwirtschaft zieht sich durch alle wesentlichen Verwaltungsvorgänge im Bildungssektor. Dazu zählen Immatrikulation und Exmatrikulation, Zeugniswesen und Bescheinigungen für Dritte. Jedoch haben Bund und Länder mit dem Onlinezugangsgesetz (OZG) und ersten Umsetzungen die Grundlagen für eine Stärkung der digitalen Verwaltungsprozesse für alle Bürger, samt Optionen für erhöhte Sicherheit auch mit eID, gelegt. Wir arbeiten seit Beginn in entsprechenden bundesweiten Initiativen wie XHochschule und XBildung mit und stellen dort unsere Lösungen vor.

Ist der Bildungsbereich im OZG auch abgedeckt?

Mit dem OZG sollen Verwaltungsportale unter anderem gemeinsame gesicherte Zugänge für Bürger zum Beispiel per BundID bekommen – auch mit eID sicherbar – und 575 Verwaltungsleistungen künftig auch voll elektronisch angeboten werden. In der Bildung gibt es einige Prozesse, die darunter fallen, beispielsweise bei der Einschulung, der BAföG-Beantragung oder Studienplatzvergabe. Sachsen-Anhalt hat sogar die Federführung beim Themenfeld Bildung inne. Erst kürzlich ist bekannt gegeben worden, dass Land und Bund sich hier bei der Umsetzung von der in meinen Augen sicherheitstechnisch problematischen Blockchain-Technologie abwenden und auf Standards wie eID und eID TrustServices setzen, die ja bereits Kern unserer Anwendungen sind. Das netlab-Team sowie die Partner im Verbundprojekt CyberSecurity Sachsen-Anhalt haben diese Lösung immer wieder unter anderem in Fachkreisen präsentiert. Obwohl wir die Ersten waren, die Hochschulkonten mittels dieser hochwertigen Sicherheitsfunktionen in den EU-Projekten TREATS und StudIES+ entwickelt haben, sind wir natürlich inzwischen nicht mehr die einzigen, die dazu beigetragen haben, sehen diese Entwicklung aber dennoch auch ein wenig als Erfolg und Bestätigung für unsere Arbeit an.

Die Expertise Ihres Teams ist vielfältig gefragt?

Das stimmt. Und es ist mehr als erfreulich, dass unsere Arbeit geschätzt wird. Den hohen Stellenwert des Themengebiets zeigt allein unser Verbundvorhaben CyberSecurity, in dem das netlab-Team der Hochschule Harz gemeinsam mit Forschenden der Universitäten Magdeburg und Halle seit April 2019 arbeitet. Als Teil der Digitalen Agenda Sachsen-Anhalts wird es vom Land und aus Mitteln des Europäischen Fonds für regionale Entwicklung finanziert. Erst im März dieses Jahres haben wir zusammen Innovationen und Chancen aus unseren Forschungs- und Entwicklungsprojekten auf dem Fachkongress des IT-Planungsrates von Bund und Ländern vorgestellt. Dieser wurde in 2023 in Halle durch das Landesministerium für Infrastruktur und Digitales veranstaltet. Das war schon eine Hausnummer bundesweit. Vorher hatten wir auf Landesebene bereits Interessierte unter anderem aus Behörden wie Landesministerien, der CyberAgentur des Bundes, dem Bundesamt für Sicherheit in der Informationstechnik sowie Firmen und Verbänden bei unserer Tagung „Innovation, Schutz und Chancen im CyberSpace“ des CyberSecurity-Verbundes im November 2022 an der Hochschule Harz zu Gast. Wir haben unsere Lösungszugänge im CyberSecurity-Verbund zudem auf Tagungen für die Wirtschaft vorgestellt - zum Beispiel Tagungen von Handwerkskammer und IHK des Landes, des BDEW Mitteldeutschland und Wirtschaftsschutztag des Landes.

Auch in Expertenkreisen sind Sie aktiv. Warum ist das für Sie wichtig?

Unsere Forschung ist anwendungs- und zukunftsorientiert. Da bringt es natürlich nichts, die entwickelten Ergebnisse geheim zu halten. Wir wollen im Sinne des Wissenstransfers unser Know-How breitestmöglich teilen. Nur so kann unsere Forschung zur Verbesserung der vorhandenen Strukturen in puncto IT-Sicherheit beitragen. Aus diesem Grund bin ich beispielsweise seit Jahren auf der jährlichen Konferenz der Organisation Europäischer Hochschulinformationssysteme, kurz EUNIS, zu Gast. Die Auflage zum 30-jährigen EUNIS-Jubiläum fand im vergangenen Monat im spanischen Vigo statt. Ich habe einen Vortrag zur Thematik „Grenzüberschreitende Services im Bildungs- und Hochschulwesen sowie neue zentrale Dienstezugänge der EU“ gehalten. Darüber hinaus arbeite ich in einer EUNIS-Fachgruppe für Informationssicherheit, samt Workshop-Durchführung vorbereitend zur EUNIS 2023, mit Experten unter anderem aus Norwegen und Schweden zum Themenschwerpunkt EMREX zusammen. Das ist ein Verfahren und Standard, mit dem man im internationalen Kontext Daten von Studierenden gesichert digital austauschen kann. Ebenfalls einem internationalen Fachpublikum der IT-Sicherheit haben wir bereits 2022 auf dem Open Identity Kongress in Kopenhagen erweiterte Lösungen für hochwertige Netzsicherheit vorstellen können.

Und diese Erfahrungen bringen Sie dann wiederum in nationalen Projekten ein?

Auf jeden Fall. Mit meinem Team gehöre ich beispielsweise zu den Forschenden, die im Auftrag des Bundesministeriums für Bildung und Forschung beim Aufbau der Infrastruktur einer Nationalen Bildungsplattform mit Konzepten und Prototypen unterstützen. Auch hier konnten wir unser Know-How in der hoch gesicherten Anbindung von Nutzerkonten für alle Bildungsträger bundesweit, zum Beispiel mittels eID, unter Beweis stellen. Ich bin gespannt, wie unsere Forschung in der nun folgenden zweiten Phase, der Umsetzung, genutzt wird.