Ernsthafter digitaler Sicherheitsvorfall an der TU Wien

Michael Mrak

30 Jan. 2026 — 1 min read

An der TU Wien kam es Ende vergangener Woche zu einem schwerwiegenden IT-Sicherheitsvorfall. Unbekannte verschafften sich unbefugten Zugriff auf das Universitätsnetzwerk und kompromittierten mehrere Benutzerkonten. Die Tragweite des Vorfalls ist derzeit noch nicht abschließend abschätzbar.

Die Universität hat den Vorfall laut Presseinformation bereits zu Wochenbeginn ordnungsgemäß der Datenschutzbehörde gemeldet und zur forensischen Aufklärung ein externes, auf Cybersicherheit spezialisiertes Unternehmen beauftragt. Gegenüber Studierenden und Mitarbeitenden wurde eingeräumt, dass mehrere Accounts betroffen sind und ein Zugriff auf sensible Daten nicht ausgeschlossen werden kann. Als unmittelbare Reaktion wird der IT-Betrieb aktuell nur eingeschränkt aufrechterhalten; sämtliche Universitätsangehörige sind angehalten, ihre Passwörter aus Sicherheitsgründen neu zu setzen.

Strukturelle Ursachen und Governance-Defizite

Der Vorfall verdeutlicht einmal mehr das zentrale Spannungsfeld zwischen der Freiheit von Forschung und Lehre einerseits und der Notwendigkeit klarer, verbindlicher und auch durchsetzbarer Regeln für die IT-Infrastruktur andererseits.

An der TU Wien fehlt ein etabliertes Informationssicherheitsmanagementsystem (ISMS). Die weitgehende Souveränität der Institute bei der Auswahl und dem Betrieb eigener Systeme, kombiniert mit fehlenden, einheitlichen Prozessen zur nachhaltigen Absicherung und regelmäßigen Aktualisierung von Software, erhöht die Angriffsfläche erheblich.

Vor diesem Hintergrund überrascht es nicht, dass es zu einem derartigen Sicherheitsvorfall kommen konnte.

Best Practice als Referenz

Dass ein anderer Weg möglich ist, zeigt die Medizinische Universität Graz, die über ein ISMS nach ISO/IEC 27001 verfügt. Dort sind Informationssicherheit, klare Zuständigkeiten und standardisierte Prozesse institutionell verankert und extern verifiziert. Genau dies wirkt nachhaltig gegen externe Bedrohungen. Entscheidend ist dabei übrigens weniger die formale Zertifizierung als vielmehr die dahinterstehende Sicherheitskultur.

Am Ende ist es eine Frage der Organisation und des Tone at the Top:

Nur wenn Informationssicherheit als strategische Führungsaufgabe verstanden und konsequent vorgelebt wird, lassen sich nachhaltige Veränderungen erreichen. Auch im universitären Umfeld.

Ohne diesen kulturellen und organisatorischen Wandel werden sich vergleichbare Vorfälle wiederholen, mit in Zeiten wie diesen potenziell noch gravierenderen Folgen.

Was konkret auf dem Spiel steht, wenn Europa jetzt nicht handelt

Die per Resolution vom 22. Jänner veröffentlichte Forderung des Europäischen Parlaments nach einer stärkeren digitalen Eigenständigkeit (siehe PDF am Ende dieses Beitrags) ist kein politisches Wunschdenken, sondern eine Reaktion auf konkret identifizierbare Risiken, die sich bei weiterem Nichthandeln weiter verschärfen würden. Diese Risiken sind strukturell, absehbar und in vielen Bereichen

Europa im digitalen Machtspiel: Warum Nichthandeln heute ein strategisches Versäumnis ist

In der aktuellen geopolitischen Lage zeichnet sich eine fundamentale strategische Herausforderung für Europa ab: Die Abhängigkeit von US-Technologiegiganten im Bereich kritischer digitaler Infrastruktur gefährdet nicht nur die wirtschaftliche Autonomie, sondern berührt elementare Fragen von Sicherheit, Rechtsstaatlichkeit und demokratischer Selbstbestimmung. Dieser Diskussionsbeitrag konkretisiert, warum Europa jetzt handeln muss — und warum Verzögerung

„W“ - eine neue europäische Social Media Plattform im Kontext bestehender Alternativen

Europa steht am Beginn einer neuen Phase digitaler Souveränität im Bereich sozialer Medien. Mit der Ankündigung der Social-Media-Plattform „W“ positioniert sich ein neu gestartetes Projekt als europäische Alternative zu X (ehemals Twitter) mit dem expliziten Anspruch, Datenschutz, echte Identität und Transparenz stärker zu garantieren als die US-amerikanischen Plattformen. Was ist

Browser konsequent ausmisten

Das Projekt „Just the Browser“ positioniert sich als bewusster Gegenentwurf zur zunehmenden Überfrachtung moderner Webbrowser. Ziel ist es, Google Chrome, Microsoft Edge und Mozilla Firefox konsequent auf ihre Kernfunktion zu reduzieren: das Anzeigen von Webseiten. Innerhalb weniger Sekunden werden mittels vordefinierter Richtlinien zahlreiche Zusatzfunktionen deaktiviert, darunter integrierte KI-Dienste, Autostart-Mechanismen, Shopping-Features,