StudieIT an Universitäten ist nicht sicher

Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE der Fraunhofer-Institute SIT und IGD unter Mitwirkung der Technischen Universität Darmstadt, der Goethe-Universität Frankfurt und der Hochschule Darmstadt, erhebt im Rahmen einer systematischen Langzeitanalyse fortlaufend Daten zur Cybersicherheit im Forschungssektor. Nun wurden aktuelle Ergebnisse einer Untersuchung an 92 Universitäten präsentiert. Analysiert wurde dabei, wie sich die von außen sichtbare IT der Universitäten seit dem Jahr 2023 verändert hat und was dies für die Cybersicherheit bedeutet.

Wie das Fraunhofer-Institut SIT mitteilt, zeigt sich demnach eine teils dramatische Verschlechterung der Sicherheitslage: Während sich die Anzahl der Internet-Domänen an den untersuchten Universitäten nur um 27 Prozent erhöhte, wuchs die Anzahl der für Cyberangriffe verwertbaren Schwachstellen um 200 Prozent – von knapp 8.400 im Jahr 2023 auf über 25.200 im Jahr 2025. Viele der Schwachstellen fänden sich in verwaisten IT-Systemen, zum Beispiel in vergessenen Projektservern.

Die Analyse förderte laut Fraunhofer-SIT deutliche Unterschiede zwischen den Universitäten zutage: Während sich die meisten Schwachstellen naturgemäß bei großen Voll- und Technischen Universitäten fanden, herrschte an kleineren Universitäten die größte Schwachstellendichte. Der Grund hierfür lasse sich ebenfalls aus den ATHENE-Messungen ableiten: Große Universitäten haben IT-Abteilungen, die zentral die wichtigsten IT-Dienste anbieten. Diesen Zusammenhang sehe man auch im Ländervergleich – in Bundesländern mit zentralisierten IT- und Sicherheitsangeboten seien die Unterschiede zwischen den einzelnen Universitäten meist sehr gering, da alle Universitäten von den Skaleneffekten profitieren.

Trend zur Cloud bringt noch keinen Sicherheitsgewinn

Ein weiteres Ergebnis der Untersuchung: Zwar betreiben die Universitäten unverändert den größten Teil ihrer IT selbst, allerdings hat auch sie der Trend zum Outsourcing erreicht – wenn auch nur langsam. Eine Verbesserung der IT-Sicherheit ist damit nach Angaben des Fraunhofer-Instituts SIT leider noch nicht verbunden; das Sicherheitsniveau kleinerer Dienstleister und von IT, die in Clouds betrieben wird, liege oft noch unter dem Niveau der IT, die von Universitäten lokal betrieben wird.

Zudem zeige die Studie deutlich diejenigen Bereiche mit der größten Hebelwirkung für die IT-Sicherheit auf. Dazu zähle etwa eine konsequente Inventarisierung – wer nicht weiß, wie seine IT aussieht und welche Systeme er betreibt, kann sie nicht schützen –, verbindliche interne Policies und Mindeststandards sowie verbindliche Sicherheitsstandards für Dienstleister und Lieferketten. Auch zentrale Plattformen auf Universitätsebene, landesweit genutzte Dienste und bundesweit einheitliche Sicherheitsstandards sind wichtige Faktoren für die IT-Sicherheit.

Realistisches Lagebild

„Unsere Studie gibt erstmals ein realistisches Lagebild zur Cybersicherheit der deutschen Universitäten und gibt auch konkrete Handlungsempfehlungen, mit denen sich schnell wirkungsvolle Verbesserungen erzielen lassen. Über die Studie hinaus entwickelt der ATHENE-Forschungsbereich Science Shield im Forschungsprojekt AIGIS-Lab eine Referenz-Architektur für deutsche Hochschulen, um die Forschungslandschaft insgesamt für die Herausforderungen von Gegenwart und Zukunft zu wappnen“, kommentiert Haya Schulmann, Professorin an der Goethe-Universität Frankfurt, Mitglied im Direktorium von ATHENE und Leiterin der Studie und des Forschungsbereichs Science Shield.

Die ATHENE-Studie zu den Universitäten soll fortgeführt und in regelmäßigen Abständen über die Ergebnisse berichtet werden. Sie ist Teil des ATHENE-Lagebilds für Deutschland, in dem auch Sektoren wie die außeruniversitäre Forschung und die IT der Bundesländer untersucht werden.