Cleverer Schutz vor kriminellen Hackern: HSBI-Expert:innen schulen Studierende und Mitarbeiter:innen

Bielefeld (hsbi). Der Countdown läuft. 25 Minuten, dann geht die Bombe hoch. Die Agent:innen schlucken, schauen sich kurz etwas ratlos an. „Fangen wir an“, sagt Dr. Eva Cruel dann und beginnt, die Schränke im verlassenen Hauptquartier der Hacker zu durchsuchen. Im wahren Leben ist Cruel Mitarbeiterin am Fachbereich Gesundheit der Hochschule Bielefeld (HSBI), in die Rolle der Agentin ist sie nur zum Spielen geschlüpft. Zusammen mit ihren Kolleginnen Sofie Blome und Helene Petker hatte Cruel sich für eine Runde im Cyber Security Escape Room angemeldet. Eingerichtet in einem Truck vor dem Haupteingang des Hauptgebäudes war der Escape Room ein Highlight des Informationssicherheitstags 2024 der HSBI.

KI-Tools können helfen, Deep Fakes zu entlarven

Die Veranstaltung der Datenverarbeitungszentrale (DVZ), wie die IT-Abteilung der HSBI heißt, fand bereits zum zweiten Mal statt und fokussierte auf die Themen Cybersicherheit und Cyberbedrohung. Das Interesse war groß: „Mehr als 300 Studierende und Mitarbeitende der Hochschule haben sich für die Veranstaltungen angemeldet“, berichtet Organisatorin Anna Culjak. Sie ist zuständig für Security Awareness („Sicherheitsbewusstsein“) an der HSBI, also dafür, die Anwender:innen für IT-Sicherheit zu sensibilisieren und ihnen das nötige Wissen zum Schutz sensibler Daten zu vermitteln. Zusammen mit ihrem Team hatte Culjak ein hochkarätiges Programm zusammengestellt – für Einsteiger:innen ebenso wie für Profis.

Lukas Heuveldop etwa, Mitarbeiter der DVZ und Experte für IT-Sicherheit und Künstliche Intelligenz (KI), wollte in seinem Vortrag wissen: „Künstliche Intelligenz in der Informationssicherheit – Chance oder Bedrohung?“ Heuveldop ließ die Zuhörerschaft im Hörsaal und online per Smartphone abstimmen. Viele waren sich unsicher und wählten: „Kann ich nicht sagen.“ Also erklärte der Referent anschaulich, wann und wie KI eingesetzt werden kann. Deep Fakes beispielsweise sind erst durch KI möglich geworden. Dabei werden die Stimme und sogar das Aussehen realer Personen täuschend echt imitiert. „Deep Fakes basieren auf öffentlichen Informationen, die man im Internet finden kann“, erklärte Heuveldop. In einem gefakten Videocall scheint es dann so, als ob tatsächlich der Chef die Anweisung gibt, eine größere Summe zu überweisen. „Fragt man ihn aber beispielsweise danach, welches Buch er kürzlich im Gespräch empfohlen hat, kann man ihn entlarven: KI hat keinen Zugriff auf solche privaten Infos und kann keine Antwort geben.“ Heuveldops Rat: „Ein Keyword vereinbaren.“ Er grinst: „Natürlich nicht per Videocall oder auf anderen digitalen Wegen. Notfalls verschickt man es per Brief.“

Im Fadenkreuz: kritische Infrastruktur und Hochschulen

Auf der anderen Seite kann KI auch für mehr Sicherheit sorgen – Beispiel Phishing: Die E-Mails, mit deren Hilfe persönliche Nutzerdaten erbeutet werden sollen, waren noch vor wenigen Jahren durch ihre auffallend fehlerhafte Grammatik und Rechtschreibung erkennbar. „Mittlerweile sorgt die KI in Sprachprogrammen dafür, dass die Texte nahezu fehlerfrei sind und die Adressierten leichter auf sie hereinfallen“, weiß Heuveldop. Aber: „KI hilft auch dabei, Phishing-Mails herauszufiltern, etwa durch Mustererkennung.“ Natürliche Intelligenz braucht es aber auch: „Man sollte immer die Vertrauenswürdigkeit der Absende-Adresse prüfen, bevor man Anhänge öffnet oder auf Links klickt.“

Besonders die persönlichen Nutzerdaten ermöglichen es Cyber-Kriminellen, in IT-Systeme einzudringen, sie zu manipulieren, lahmzulegen oder zu zerstören. „Wenn wir einen zweiten Faktor zur Identifizierung einführen, tun wir dies also nicht, um die User zu ärgern“, sagt Anna Culjak. „Sondern um unser IT-System und alles, was daran hängt, zu schützen.“ Denn die Schäden können enorm sein und gravierende Auswirkungen haben, wie die Beiträge der externen Experten deutlich machten. Hier ging es um Wirtschaftsspionage, Erpressung oder die Bedrohung der sogenannten kritischen Infrastruktur. „Wenn etwa die IT-Systeme von Energie-Unternehmen oder Kliniken angegriffen werden, ist die Versorgungssicherheit der Bevölkerung gefährdet“, ordnet Anna Culjak die Gefahren ein. Angegriffen werden nicht nur Wirtschaftsunternehmen und lebensnotwendige Einrichtungen, auch wissenschaftliche Institutionen wie Hochschulen werden immer öfter zur Zielscheibe.

Nach Hackerangriff auf die Uni Duisburg-Essen: HAWs in NRW gründen Security Operations Center

 Vor zwei Jahren wurde die Universität Duisburg-Essen über einen längeren Zeitraum von Hackern lahmgelegt, die „Lösegeld“ erpressen wollten, es dauerte Monate, bis alle IT-Systeme wieder funktionierten. Die HSBI hat auf diese Bedrohung reagiert und entwickelt Abwehrstrukturen – und zwar über die Hochschule hinaus: Federführend bauen die Expert:innen des Hauses ein landesweites Security Operations Center (SOC) mit auf, in dem alle Hochschulen für Angewandte Wissenschaften, die Kunst- und Musikhochschulen des Landes und die Kölner Sporthochschule ihre Kompetenzen bündeln. „Wir können zwar nicht hundertprozentig ausschließen, dass Hochschulen in NRW auch in Zukunft Opfer von erfolgreichen Hackerangriffen werden, aber wir stellen uns den Herausforderungen gemeinsam, bündeln unser Know-how und suchen nach Lösungen für mehr Cybersicherheit“, sagt Michael Korff, Leiter der HSBI-IT. Das fordert die Hacker auch heraus. Erst kürzlich gab es einen Angriff mit Phishing-Mails, der es auf die Login-Daten der HSBI-Angehörigen abgesehen hatte. Aufwendig hatten die Kriminellen die Eingabemaske des HSBI-Log-Ins nachgebaut. „Wir haben den Angriff erfolgreich und fast in Echtzeit abgewehrt“, berichtet Korff. „Die gefakte E-Mail wurde erkannt, die verlinkte Seite gesperrt: Unsere Sicherheits-Mechanismen haben gewirkt.“

Ein sicherheitsbewusster Umgang mit persönlichen Daten schützt aber nicht nur IT-Systeme, sondern auch die Nutzer:innen selbst. „Cyber-Sicherheit geht jeden an“, betont Anna Culjak. Wie einfach die eigene digitale Identität gestohlen werden kann, konnten die Zuhörer:innen beim Live-Hacking des Cybersecurity Unternehmens AWARE7 erleben. Die Identität einer fiktiven Person wurde zunächst gefaked, sie bekam unter anderem eine E-Mail-Adresse, eine Telefonnummer, ein Social-Media-Profil und Accounts bei Online-Händlern. Dann, im Handumdrehen, hackte Referent David Bothe die Identität. Für manche war das Szenario offenbar zu real. „Beängstigend“, resümierte eine Teilnehmerin leicht verstört. „Das hat sich nicht richtig angefühlt.“ Insgesamt zieht Anna Culjak aber eine positive Bilanz aus den Rückmeldungen der Teilnehmenden. „Deutlich wurde mehr Verständnis für IT-Sicherheit im Alltag gezeigt – und die Nachfrage nach Passwortmanagern ist gestiegen. Vor allem die konkreten Tipps für das eigene Verhalten kamen gut an.“

Besonders, wenn sie so spielerisch verpackt waren wie im Escape Room. Während Eva Cruel, Sofie Blome und Helene Petker nach den Hinweisen zur Bombenentschärfung fahnden, gibt es nebenbei auch ein paar IT-Sicherheitsbasics an die Hand: persönliche Daten nicht ohne Grund preisgeben, keine unbekannten USB-Sticks anschließen, nicht auf Links in ungeprüften E-Mails klicken, fremde Dokumente mit persönlichen Daten abgeben. Am Ende gewinnt das Team das Rennen gegen die Uhr, der Countdown wird rechtzeitig gestoppt. „Super“, sagt Eva Cruel. „Eine tolle Idee, dieses wichtige Thema durch einen Escape Room zusätzlich aufzubereiten.“ (uh)

Für weiteres Bildmaterial können Sie sich gerne an presse@hsbi.de wenden.