HRZ-Blog ​​ ​​​​​​ ​​ – 2020

 


Jedes Jahr im Wintersemester finden Wahlen der Studierenden in die Fachbereichs- und Fachschaftsräte (FB 1-16), zum Studierendenparlament und zum Rat des L-Netzes statt. Das HRZ hatte für die Gremienwahl in diesem Semester wieder Rechner zur Urnenwahl vom 03. – 06. Februar 2020 vorbereitet und bei der Umsetzung der Wahlen mitgeholfen, um einen reibungslosen Ablauf zu garantieren. Die Rechner enthielten die Wählerlisten, die in einer zentralen Datenbank gespeichert, abgerufen und bearbeitet wurden. Dadurch waren die Wähler an kein Wahllokal gebunden, sondern konnten Ihre Stimmen auf dem Campus Ihrer Wahl abgeben.

Der erfolgreiche Einsatz und Betrieb dieser Rechner war ein Zusammenspiel mehrerer HRZ-Abteilungen: Beteiligt waren die E-Prüfungen mit der Bereitstellung der Hardware, der Bereich Netze mit der Planung und dem Patchen der entsprechenden Netze, die Medientechnik im Bereich Verkabelung, das Identity Management und die Webadministration mit der Erstellung und Pflege der Datenbank, Accounts sowie der Schulung der Wahlhelfer. Die SVG-Gruppe kümmerte sich um die Provisionierung der Rechner, den Auf- und Abbau sowie die Koordination aller Beteiligten während der kompletten Wahlphase.

 

Wir alle haben die Nachrichten zum Hackerangriff auf die Justus-Liebig-Universität Gießen in den Medien verfolgt. Tatsächlich sind deutsche Hochschulen quasi tagtäglich im Visier von Hackern – die Goethe-Universität Frankfurt könnte also genauso betroffen sein.

Dies hat zum einen mit der Größe der Universität beziehungsweise der Anzahl der Mitarbeitenden und Studierenden zu tun. An der Goethe-Universität gibt es derzeit ca. 60.000 aktive Accounts. Davon hat sicherlich eine große Zahl keinen adäquaten Passwortschutz. Hier ist jede*r einzelne Angehörige der Universität gefragt, darauf zu achten, sichere Passwörter zu verwenden – mit einem Passwort-Safe, und unterschiedlichen Passwörtern für externe und interne IT-Dienste, um den Missbrauch eines Accounts durch Dritte zu verhindern.

Weiterhin ist es wichtig bei zugesendeten E-Mails genau hinzuschauen, wer der Absender ist. E-Mail-Anhänge, die nicht erwartet werden oder Phishing-Versuche mit mehr oder weniger dubiosen Aufforderungen seinen Benutzernamen und das zugehörige Passwort auf einer Webseite einzugeben, sollten hinterfragt werden. Im Zweifel ist es sinnvoll die Experten aus dem GU-CERT – dem GU Computer Emergency Response Team – zu konsultieren, bevor diese sensiblen Daten verwendet werden.

Zum anderen hängt die Verwundbarkeit der Goethe-Universität in Sachen IT-Sicherheit auch damit zusammen, dass es neben der zentralen Infrastruktur viel dezentrale IT gibt. Die Universität betreibt über 350 Server, sowie über 1000 Dienste auf virtuellen Servern, die nicht vom Hochschulrechenzentrum (HRZ) betreut werden. Am Universitätsnetz hängen ca. 10.000 Endgeräte wie Desktop-PCs, Notebooks Tablets oder Mobiltelefone, viele davon privat. Lediglich 3500 dienstliche Endgeräte (Desktop-PCs und Notebooks) werden vom HRZ administriert. Das Sicherheitslevel dieser dezentralen Systeme sowie privat angeschlossene Geräte bleiben unklar. Eine gute Administration und regelmäßige Updates jedes Einzelnen sind also zentral.

Seit dem mutmaßlichen Hackerangriff an der Universität Gießen gilt insbesondere, achten Sie darauf, dass keine Sicherheitslücken entstehen. Machen Sie außerdem regelmäßig Backups, die auf einem System gespeichert sind, das nicht permanent mit dem Arbeitsplatzrechner verbunden ist, um Datenverlust zu vermeiden. Fahren Sie alle Rechner runter, die Sie nicht benötigen, während die Universität zwischen den Jahren geschlossen ist.

Aufgrund der dezentralen IT-Struktur geht der Appell an jede*n Einzelnen Angehörigen der Goethe-Universität, sich an die Sicherheits- und Handlungsempfehlungen des Sicherheitsmanagement Teams (SMT), verantwortlich für die IT-Sicherheit der gesamten Universität und des Hochschulrechenzentrums (HRZ) zu halten. Das SMT bietet allen Uni-Angehörigen auch ein Online-Schulungsangebot. Weitere Tipps und Empfehlungen bieten die untenstehenden Webseiten.

Grundsätzlich sind alle Universitäten ein interessantes Ziel für Hacker, weil sie vielfältige Forschungsdaten speichern. Es also viele Daten gibt, die man zu Geld machen könnte (siehe Artikel im Deutschlandfunk). Forschungsdatenmanagement und Datenschutz rücken damit auch in den Blickpunkt vieler Hochschulen.


Weiterführende Links:

Bericht des Deutschlandfunks zur IT-Sicherheit und Cyber Gefahrenabwehr an deutschen Hochschulen:

https://www.deutschlandfunk.de/datenschutz-hochschulen-wollen-sich-gegen-cyberattacken.680.de.html?dram%3Aarticle_id=448238&wt_zmc=nl.int.zonaudev.zeit_online_chancen_w3_d.12.12.2019.nl_ref.zeitde.bildtext.link.20191212&utm_medium=nl&utm_campaign=nl_ref&utm_content=zeitde_bildtext_link_20191212&utm_source=zeit_online_chancen_w3_d.12.12.2019_zonaudev_int

Online-Schulung, Empfehlungen, Informationen, Downloads und Links des IT-Sicherheitsmanagement-Team (SMT) der Goethe-Universität:

https://www.uni-frankfurt.de/smt

IT-Sicherheitshinweise des HRZ:

https://www.rz.uni-frankfurt.de/hrz/it-sicherheit

Bundesamt für Sicherheit in der Informationstechnik (BSI):

https://www.bsi-fuer-buerger.de