Die Arbeitsabläufe an der Hochschule sind in den letzten Jahren in hohem Maße von einem reibungsfrei funktionierenden Betrieb der Informations- und Kommunikationstechnik abhängig geworden. Dies fällt Nutzern häufig erst dann auf, wenn IT-Dienste durch IT-sicherheitsrelevante Vorfälle nicht mehr oder nur eingeschränkt zur Verfügung stehen. Angreifer, die sich Systeme für ihre Zwecke zu Eigen machen oder quasi automatisch agierende Computerwürmer beeinträchtigen nicht nur die Verfügbarkeit von IT-Diensten sondern schädigen im schlimmsten Fall Vertraulichkeit und Integrität interner Datenbestände. Da alle Nutzer des RUB Intranets im wahrsten Sinne des Wortes an einem Strang hängen, sind nicht nur die kompromittierten Systeme von Hackereinbrüchen betroffen. Diese werden in der Regel als Sprungbrett zum Attackieren benachbarter Systeme verwendet. Durch bestehende Vertrauensstellungen oder die Möglichkeit, den Netzwerkverkehr und Passworte auszuspähen, sind weitere Einbrüche sogar leichter möglich. Zumindest die Verstopfung des Netzwerkes bekommen alle Nutzer zu spüren. Jeder Endanwender muss sich seiner Verantwortung beim Betrieb eines Systems im universitätsinternen Intranet bewusst sein. Die Verwendung eines aktuellen Virenschutzes, das zeitnahe Einspielen von Systemupdates, das Absichern von Systemen und Netzwerk gegen unbefugten Zugriff werden jedoch oftmals als lästig und zeitraubend empfunden. Herrenlose, verwahrloste Systeme werden ohne jegliches Risikobewusstsein weiter im Netz betrieben, unzureichend gesicherte WLAN Access Points öffnen die Tore für jeden Angreifer, der sich Zugang zum Uninetz verschaffen möchte. Ursache für diese Fehlentwicklung ist nicht zuletzt, dass die Systembetreuer vor Ort die Aufgabe der IT-Betreuung vielfach neben ihrer eigentlichen Tätigkeit in Forschung und Lehre ausüben müssen oder dass es überhaupt keine fachlich kompetenten Systembetreuer vor Ort gibt. Es gilt zu überlegen, ob der Betrieb eines derartig unreglementierten offenen Datennetzes nicht inzwischen zu einem Hindernis für Forschung und Lehre geworden. Es fehlen für alle bindende Vorgaben (Richtlinien), die den Betrieb von Endsystemen und Servern im universitären Intranet regeln. Um Wirkung zu entfalten können vernünftige Regelungen, auf deren Einhaltung auch geachtet wird, nur im Konsens mit den Einrichtungen und Gremien der RUB entstehen.
Bei IT-sicherheitsrelevanten Vorfällen darf man aber nicht nur an spektakuläre Hackereinbrüche denken. Viele Probleme entstehen durch mangelnde Planung. Wer denkt schon bei der hastigen Implementierung eines neuen IT-Verfahrens daran, dass Hardware auch gelegentlich Defekte hat. Würde man im Vorfeld IT-Dienste, deren Ausfall nicht oder nur schwer akzeptabel ist, mit entsprechender Redundanz auslegen, so stünde man Problemen nicht ganz so machtlos gegenüber. Die Planung von Redundanzen, falls überhaupt jemand daran denkt, fällt aber leider in den meisten Fällen dem Rotstift zum Opfer. Ebenso steht es mit geeigneten Backup-Konzepten oder gar Konzepten zur langfristigen Archivierung von Datenbeständen, die sich aus gesetzlich vorgeschriebenen Aufbewahrungspflichten ergeben. Notfallpläne, die zum zügigen Wiederherstellen eines Systems unabdingbar sind, werden vermutlich beinahe niemals vorhanden sein. Eine ausführliche Risikoanalyse schärft das Bewusstsein dafür, welche Auswirkungen der Ausfall eines Dienstes hat, wie Dienste miteinander verflochten sind oder welche zusätzlichen Netzsicherungsmaßnahmen getroffen werden müssen, um „Kronjuwelen“ sicher zu schützen.
|
