Digitale Systeme haben Schwachstellen, deshalb ist es nicht verwunderlich, dass auch an der FAU Schwachstellen gefunden wurden – glücklicherweise durch das Security Operation Center der FAU.

Es vergeht kaum eine Woche, in der nicht in den Medien von Hackerangriffen auf Unternehmen, Krankenhäuser, Universitäten oder andere Einrichtungen berichtet wird. Es gilt, sich dagegen so gut es geht zu wappnen und Sicherheitslücken aufzudecken, bevor einer der Angriffe, denen alle IT-Systeme ausgesetzt sind, erfolgreich verläuft. Solche Schwachstellen in den Systemen der FAU ausfindig zu machen, war das Ziel von Sicherheitsscans des Chief Information Security Officer (CISO) Professor Michael Tielemann und seines Mitarbeiters im Security Operation Center (SOC), Matti Schulze.

Bei  mehr als 3.000 extern erreichbaren Internetsystemen an der FAU wäre das händisch ein großer Aufwand. Deshalb gibt es Tools, in deren Hintergrund eine Datenbank liegt, die Beschreibungen aller Schwachstellen enthält – vorausgesetzt natürlich das zum Beispiel das Datenleck bereits bekannt und in die Datenbank eingetragen ist. „Entdeckt jemand eine Schwachstelle und möchte damit Böses anrichten, kann er die Lücke natürlich gleich ausnutzen“, sagt Schulze. „Eine 100-prozentige Sicherheit kann es deshalb nicht geben“, erklärt Tielemann. Deshalb braucht es regelmäßige Sicherheitsscans. „In den mehr als 3.000 Internetsystemen an der FAU haben wir über 1.000 hochkritische Schwachstellen entdeckt“, erklärt der CISO. „Diese ersten Ergebnisse waren erschreckend.“

Server mit Windows 95

Das Team entdeckte neben Servern, die seit zehn Jahren nicht mehr aktualisiert wurden, auch einen Server, der noch unter Windows 95 lief. In vielen weiteren Fällen reichte es aus, die notwendigen Updates einzuspielen. „Das Schwierige war vor allem, die richtigen Ansprechpartner in den Einrichtungen zu finden, denn die recherchierten Personen sind oftmals inzwischen gar nicht mehr an der FAU tätig“, erklärt Tielemann.

Das Vorgehen beim Fund solcher Schwachstellen ist immer das Gleiche: Zunächst wird versucht, gegebenenfalls mithilfe des RRZE, die zuständigen IT-Betreuer ausfindig zu machen. Gelingt das nicht, werden die Einrichtungsleiter direkt angefragt, weil die Systeme in ihren Verantwortungsbereich fallen. „Wenn das Problem zu krass ist oder kein Ansprechpartner gefunden werden kann, sperrt das RRZE den Server für das FAU-Netz“, erklärt Schulze. „Spätestens dann melden sich die Verantwortlichen von selbst“, sagt Tielemann. Aber dass Server gesperrt werden müssen, komme selten vor, meistens reiche es zeitnah Updates einzuspielen. „Manche Systeme kann man auch einfach in interne Netze umziehen, denn nicht alle Systeme müssen im Internet erreichbar sein“, sagt Tielemann.

Generell gelte: „Die Menschen können an der FAU nahezu beliebige Systeme aufbauen und betreiben, sollten aber nie die Sicherheit der Systeme vergessen“, sagt Tielemann. Man solle sich gut überlegen, ob ein Server zwingend aus dem Internet erreichbar sein müsse oder ob es reiche, dass man innerhalb des FAU-Netzes bzw. über VPN darauf zugreifen kann. „Und wer seine Systeme, zum Beispiel Webserver, ins Internet bringen muss, der sollte das Webhosting des RRZE nutzen, denn dort haben wir keine Schwachstellen gefunden“, sagt Schulze. Doch auch wer seine Systeme selbst hosted, kann auf die Unterstützung des SOC zählen, denn die Scans werden kontinuierlich fortgeführt. Wer seine Systeme selbst beobachten möchte, kann vom SOC jederzeit einen Zugang zum Tool erhalten. „Je mehr mitmachen“, sagt Schulze, „desto besser ist das für alle an der FAU.“

Text: Corinna Russow