Informationssicherheit

Ernsthafter digitaler Sicherheitsvorfall an der TU Wien

Michael Mrak

Michael Mrak

1 Min. Lesezeit
Teilen
Ernsthafter digitaler Sicherheitsvorfall an der TU Wien
Photo by Glen Carrie / Unsplash

An der TU Wien kam es Ende vergangener Woche zu einem schwerwiegenden IT-Sicherheitsvorfall. Unbekannte verschafften sich unbefugten Zugriff auf das Universitätsnetzwerk und kompromittierten mehrere Benutzerkonten. Die Tragweite des Vorfalls ist derzeit noch nicht abschließend abschätzbar.

Die Universität hat den Vorfall laut Presseinformation bereits zu Wochenbeginn ordnungsgemäß der Datenschutzbehörde gemeldet und zur forensischen Aufklärung ein externes, auf Cybersicherheit spezialisiertes Unternehmen beauftragt. Gegenüber Studierenden und Mitarbeitenden wurde eingeräumt, dass mehrere Accounts betroffen sind und ein Zugriff auf sensible Daten nicht ausgeschlossen werden kann. Als unmittelbare Reaktion wird der IT-Betrieb aktuell nur eingeschränkt aufrechterhalten; sämtliche Universitätsangehörige sind angehalten, ihre Passwörter aus Sicherheitsgründen neu zu setzen.

Strukturelle Ursachen und Governance-Defizite

Der Vorfall verdeutlicht einmal mehr das zentrale Spannungsfeld zwischen der Freiheit von Forschung und Lehre einerseits und der Notwendigkeit klarer, verbindlicher und auch durchsetzbarer Regeln für die IT-Infrastruktur andererseits.

An der TU Wien fehlt ein etabliertes Informationssicherheitsmanagementsystem (ISMS). Die weitgehende Souveränität der Institute bei der Auswahl und dem Betrieb eigener Systeme, kombiniert mit fehlenden, einheitlichen Prozessen zur nachhaltigen Absicherung und regelmäßigen Aktualisierung von Software, erhöht die Angriffsfläche erheblich.

Vor diesem Hintergrund überrascht es nicht, dass es zu einem derartigen Sicherheitsvorfall kommen konnte.

Best Practice als Referenz

Dass ein anderer Weg möglich ist, zeigt die Medizinische Universität Graz, die über ein ISMS nach ISO/IEC 27001 verfügt. Dort sind Informationssicherheit, klare Zuständigkeiten und standardisierte Prozesse institutionell verankert und extern verifiziert. Genau dies wirkt nachhaltig gegen externe Bedrohungen. Entscheidend ist dabei übrigens weniger die formale Zertifizierung als vielmehr die dahinterstehende Sicherheitskultur.

Am Ende ist es eine Frage der Organisation und des Tone at the Top:

Nur wenn Informationssicherheit als strategische Führungsaufgabe verstanden und konsequent vorgelebt wird, lassen sich nachhaltige Veränderungen erreichen. Auch im universitären Umfeld.

Ohne diesen kulturellen und organisatorischen Wandel werden sich vergleichbare Vorfälle wiederholen, mit in Zeiten wie diesen potenziell noch gravierenderen Folgen.

Weiterlesen

Digitale Kolonie Europa: Was Unternehmen jetzt konkret tun können

Digitale Kolonie Europa: Was Unternehmen jetzt konkret tun können

Beim E-Day der Wirtschaftskammer Österreich stand digitale Souveränität nicht im Nebenprogramm, sondern auf der Hauptbühne. Für alle, die das Thema bislang als Nischenanliegen von Datenschützern abgetan haben, ist das ein Signal: Die organisierte Unternehmerschaft Österreichs hat erkannt, dass Cloud-Abhängigkeit kein technisches Detail ist, sondern ein strategisches Unternehmensrisiko. Höchste Zeit, daraus

Von Michael Mrak
Robotik, KI und die nächste industrielle Dekade

Robotik, KI und die nächste industrielle Dekade

Prof. Dominik Bösl, Informatiker, ehemaliger Industrie-Insider bei Siemens, Microsoft, KUKA und Festo, heute Professor an der Hochschule der Bayerischen Wirtschaft, hat beim diesjährigen #EDAY26 der Wirtschaftskammer Österreich eine Keynote gehalten, die erfrischend nüchtern war. Kein Weltuntergang, kein blinder Optimismus, sondern der Versuch, Technologieentwicklung realistisch einzuordnen. Das verdient Aufmerksamkeit, gerade weil

Von Michael Mrak