BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/20210 21. Wahlperiode 25.02.20 Schriftliche Kleine Anfrage des Abgeordneten Martin Dolzer (DIE LINKE) vom 17.02.20 und Antwort des Senats Betr.: Cyberattacken auf Hamburger Hochschulen Eine Parlamentarische Anfrage der linken Bundestagsfraktion ergab, dass außeruniversitäre Forschungseinrichtungen in den letzten Jahren Dutzenden Angriffen auf ihre IT-Infrastruktur ausgesetzt waren. Die Fraunhofer-Gesellschaft verzeichnete demnach 15 Phishing-Vorfälle, sieben Attacken mit Schadsoftware, drei Identitätsdiebstähle und drei Hackerangriffe. Auch die Max-Planck-Gesellschaft und die Helmholtz-Gemeinschaft berichteten von mehreren Angriffen. Zu den Hochschulen liegen der Bundesregierung keine Kenntnisse vor. Ich frage den Senat: 1. Welche Hamburger Hochschulen unterlagen nach Kenntnis des Senats in den Jahren 2018 und 2019 Angriffen auf ihre IT-Infrastruktur? Bitte jeweils nach Anzahl und Art der Angriffsversuche aufschlüsseln. An der Universität Hamburg (UHH) wurden in den Jahren 2018 und 2019 keine zielgerichteten Angriffe auf die IT-Infrastruktur der UHH registriert. Ungerichtete Angriffe waren dagegen sehr zahlreich und manifestierten sich vor allem als Phishing-Angriffe und Angriffe mit Schadsoftware. Keiner dieser ungerichteten Angriffe wurde zu einem IT-Sicherheitsvorfall qualifiziert. Daher ist eine genaue Zahlenangabe nicht möglich. An der Technischen Universität Hamburg (TUHH) wird das gesamte Campusnetzwerk täglich mehrfach auf offene Ports gescannt. Es gibt kontinuierlich Passwort-Ratesowie Code-Injection-Versuche auf aus dem Internet erreichbaren Systemen. Täglich werden viele 1 000 Spam-Mails, oft mit Schadcode, empfangen. Statistisch erfasst werden nur Sicherheitsvorfälle, das heißt Angriffe, die nicht präventiv abgewehrt wurden, gemäß CSIRT Case Classification waren dies in den Jahren 2018 und 2019: 2018 2019 Email – Spam 11 16 Denial of Service 4 5 External Hacking 3 4 Malware – Bot Activity 11 2* * 2019 konnten sechs Infektionen (unter anderem Crypto-Trojaner) von PCs dem Ursprung von Spam-Mails zugerechnet werden und wurden dort verbucht. Die HafenCity Universität Hamburg (HCU) ist durch ihren Zugang zum Internet permanent automatisierten und zum Teil gezielten Angriffsversuchen per Mail oder Web ausgesetzt. Erfasste Sicherheitsvorfälle in den Jahren 2018 und 2019 waren: Drucksache 21/20210 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 2018 2019 Schadsoftwarevorfälle 8 5 Kompromittierte Zugangsdaten (Benutzername und Passwort) 1 5 Die Hochschule für Angewandte Wissenschaften Hamburg (HAW Hamburg) unterlag in den Jahren 2018 und 2019 42 Phishing-Angriffen und einem Hackerangriff auf ihre Infrastruktur des zentralen Informationstechnik Service Center (ITSC). Die Hochschule für Bildende Künste (HFBK) und die Hochschule für Musik und Theater (HfMT) unterlagen in den Jahren 2018 und 2019 keinen Angriffen auf ihre IT-Infrastruktur. 2. Welche Maßnahmen wurden durch die Hochschulen infolge der Angriffe auf die IT-Infrastruktur unternommen? An der UHH wurden infolge der ungerichteten Angriffe interne Sicherheitswarnungen veröffentlicht sowie gegebenenfalls attributierbare Ausgangspunkte der ungerichteten Angriffe über den potenziellen Missbrauch ihrer Infrastruktur für diese Angriffe in Kenntnis gesetzt. Die TUHH hat von Sicherheitsvorfällen betroffene Systeme vom Netz genommen und Benutzerkennungen gesperrt. Darüber hinaus wurden PCs neu aufgesetzt, bei Servern und Laufwerken ein Back-up eingespielt. Auch mussten Benutzerinnen und Benutzer ein neues Passwort vergeben. An der HCU wurden Schadsoftwarevorfälle nach einem intern definierten Prozess von Mitarbeiterinnen und Mitarbeitern der IT in Zusammenarbeit mit dem Informationssicherheitsbeauftragten bearbeitet. Wenn nicht sichergestellt werden konnte, dass die Schadsoftware mit einem Antivirenprogramm restlos entfernt werden konnte, wurde eine Neuinstallation des Betriebssystems durchgeführt. Wenn festgestellt wurde, dass Zugangsdaten kompromittiert wurden, sind die Benutzerkonten gesperrt, die Benutzer informiert und anschließend ein neues Passwort gesetzt worden. An der HAW Hamburg werden die von erfolgreichen Phishing-Angriffen betroffenen Accounts automatisch gesperrt, sobald verdächtige Aktivitäten erkennbar sind. Dann wird, verknüpft mit einer Identitätsprüfung, ein neues Passwort vergeben. Darüber hinaus berät das ITSC die betroffenen Mitarbeiterinnen und Mitarbeiter im Sinne eines sicheren IT-Betriebs. Ein von einem Professor dezentral betriebener, von einem Hackerangriff betroffener Server wurde dauerhaft abgeschaltet. Das ITSC versucht zudem in enger Zusammenarbeit mit dem Informationssicherheitsbeauftragten im Rahmen des eigenen IT-Dienste-Angebots erkennbar werdende Schwachstellen zu lokalisieren und im Sinne eines sicheren IT-Betriebs zu beheben. Im Übrigen siehe Antwort zu 1. 3. Welche fortlaufenden präventiven Maßnahmen unternehmen die Hochschulen zur Abwehr von Angriffen und zur Sicherung der IT-Infrastruktur ? An der UHH basiert die Sicherung der IT-Infrastruktur auf dem allgemein akzeptierten Vorgehen und umfasst den Schutz vor Schadsoftware, die zeitnahe Installation von Sicherheitsupdates, die Segmentierung und den Schutz des Netzwerks, ein granulares Berechtigungsmanagement sowie weitere Maßnahmen zur Erreichung der Schutzziele. Die TUHH unternimmt unter anderem die folgenden IT-Sicherheitsmaßnahmen: Firewalls, Netzsegmentierung, Netzwerküberwachung, Schwachstellenscans, VPN, Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/20210 3 Anti-Virus, Spam-Filter, Makro-Erkennung in Office-Dokumenten, Back-ups, Sicherheitsschulungen, Vorfallsmanagement und Reporting. Die HCU setzt eine Vielzahl an präventiven technischen und organisatorischen Maßnahmen zum Informationssicherheitsmanagement nach dem IT-Grundschutzstandard des Bundesamts für Sicherheit in der Informationstechnik ein. Die Maßnahmen umfassen: Back-ups, Patchmanagement, Sicherheitsvorfallsmanagement, Änderungsmanagement, Antivirensoftware, Sensibilisierung der Hochschulangehörigen, Schulung des IT-Personals, Firewalls, Schwachstellenscans, Elektronisches Schließsystem, Prozesse für die Vergabe von Rollen und Berechtigungen und Logging und Monitoring. An der HAW Hamburg werden die Systeme aktuell gehalten und durchgehend überwacht . Bei Überschreiten von Schwellwerten wird zeitnah – und dort wo es möglich ist, automatisch – eingeschritten. Die HFBK und die HfMT setzen ein Perimeter-Firewall-System ein, um einen effektiven Schutz vor Angriffen zu gewährleisten. Weiterhin findet eine umfassende Netzwerküberwachung in den Netzen der Hochschule statt. 4. In welcher Höhe stellt der Senat den Hochschulen finanzielle Mittel zur Abwehr von Angriffen und zur Sicherung der IT-Infrastruktur zur Verfügung ? Die Hochschulen erhalten ein Globalbudget, welches sie im Rahmen der Hochschulautonomie eigenverantwortlich verwalten und einsetzen.