Im letzten Jahr hat der Landesrechnungshof Brandenburg (LRH BB) Untersuchungen zur IT-Sicherheit an den acht Hochschulen des Landes durchgeführt.
Unter dem Strich sind die Hochschulen dabei nicht besonders gut weggekommen, die Verbesserung der IT-Sicherheit sei in den letzten 30 Jahren trotz der bekannten Bedrohungen nicht ausreichend angegangen worden – was lt. LRH in nicht unwesentlichem Maße an den unzureichenden Mitteln und Maßnahmen durch das Wissenschaftsministerium lag.
Im Jahresbericht sind die Einschätzungen einschließlich der Stellungnahme des Ministeriums dokumentiert.
Aus dem Jahresbericht des Rechnungshofes[1]
„IT-Sicherheit an den Hochschulen in Gefahr
An vielen Hochschulen des Landes ist die IT-Sicherheit gefährdet. Insbesondere fehlt es an einer konzeptionellen Herangehensweise. Hier besteht Aufhol- und Verstetigungsbedarf.
Die Verantwortung für eine ausreichende IT-Sicherheit liegt bei der Leitungsebene der Hochschulen. Diese sollten künftig noch stärker IT-Sicherheit als Führungsaufgabe erkennen und wahrnehmen. Das Wissenschaftsministerium als Rechts- und Fachaufsichtsbehörde ist gefordert, die Hochschulen künftig nicht mehr weitestgehend allein zu lassen, sondern nach Kräften zu unterstützen.“
Einige weitere Erkenntnisse heben wir hervor:
Es wird darauf eingegangen, dass die finanzielle und personelle Ausstattung der Hochschulen unzureichend ist, um den Anforderungen zur IT-Sicherheit Genüge tun zu können.
Nicht an allen Hochschulen sind Informationssicherheitsbeauftragte bestellt und die Beauftragten können häufig nur nebenberuflich mit geringsten Arbeitszeitanteilen von 5-20% diese Funktion ausfüllen. Außerdem werden sie nicht an allen Hochschulen konsequent in relevante Verfahren einbezogen oder verfügten über unzureichende Sachkenntnis.
Nur drei von acht Hochschulen hatte Ziele in IT-Sicherheitsrichtlinien festgelegt, so dass deren Umsetzung bei den verbliebenen fünf Hochschulen nicht überprüft werden konnte.
Aufgrund unzureichender Sensibilisierung und Schulung der Beschäftigten wurden zahlreiche Sicherheitsmängel an Arbeitsplatzrechnern festgestellt, von fehlenden Bildschirmsperren über schwache Passwörter bis hin zu administrativem Zugriff. Zudem gab es dezentrale Bereiche, bei denen zentral umgesetzte Schutzmaßnahmen umgangen werden konnten.
Einige Serverräume verfügten nicht über ausreichende Brandschutzmaßnahmen, die Notstromversorgung oder Klimaanlagen waren zu schwach dimensioniert und manche Räume wurden als Lager bzw. Abstellraum zweckentfremdet.
Zudem fehlten an fünf Hochschulen praxistaugliche Notfallkonzepte und ein standardisiertes Formblatt für die Meldung von Sicherheitsvorfällen gab es nur an einer Einrichtung.
Verbesserung der Lage in Sicht?
IT-Sicherheit sollte auch an Hochschulen nicht stiefmütterlich behandelt werden, da die Schäden immens sein können.
Erfreulicherweise ist das Thema jetzt sowohl an den brandenburger Hochschulen als auch im Ministerium stärker im Fokus – es wurden beispielsweise weitere Informationssicherheitsbeauftragte bestellt.
Es bleibt zu hoffen, dass IT-Sicherheit künftig die nötige Wertschätzung bekommt, indem sie künftig dauerhaft an den Hochschulen sowohl finanziell und personell als auch organisatorisch stärker als bisher berücksichtigt wird.
Weitere Informationen
- IT-Sicherheit an den Hochschulen in Gefahr, 25 Seiten umfassender Auszug des Jahresberichts 2021 des Landesrechnungshofs Brandenburg
(PDF, S. 173-187, nicht barrierefrei) - Jahresbericht 2021 des Landesrechnungshofs Brandenburg (PDF)
- Rechnungshöfe des Bundes und der Länder – Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informationstechnik (PDF)
[1] Es sei angemerkt, dass die Prüfung der IT-Sicherheit öffentlicher Einrichtungen eine Aufgabe der Landesrechnungshöfe ist.