An der Universität wird demnächst die Zwei-Faktor-Authentisierung eingeführt – ein notwendiger Schritt, um die Computersysteme vor unerwünschten Eindringlingen zu schützen.

Der 25. Februar 2023 war kein guter Tag für die Universität Oldenburg. Über sogenannte Phishing-Mails konnten Angreifer mehrere Benutzerkonten der Hochschule hacken. Die Kriminellen hatten Mitarbeitende über E-Mails dazu verleitet, ihr Passwort auf gefälschten Webseiten einzugeben. Mit den gestohlenen Zugangsdaten verschickten die Hacker weitere betrügerische Mails. Insgesamt mehr als 80.000 Spam-Mails brachten sie an diesem und dem folgenden Tag in Umlauf. Die Konsequenz: Die Universität landete auf mehreren schwarzen Listen. Viele Server blockierten Mails mit der Endung „uni-oldenburg.de“ automatisch. Bis es wieder möglich war, E-Mails reibungslos zu verschicken, dauerte es mehrere Tage.

Dass solche Angriffe keine Einzelfälle, sondern Ausdruck einer anhaltenden Bedrohung sind, zeigte eine weitere, massive Hackerattacke, die die Universität im Sommer des vergangenen Jahres traf. Nur mit großem Einsatz und Know-how gelang es den IT-Fachleuten, den Angriff abzuwehren. „Insgesamt sind wir bislang noch relativ glimpflich davongekommen“, sagt Thorsten Kamp, in der Stabsstelle für Datenschutz- und Informationssicherheitsmanagement zuständig für Sicherheit. Theoretisch könnten Angreifer, die einen Account gehackt haben, noch viel mehr Unheil anrichten. Denn mit den Zugangsdaten sind sie in der Lage, auf alle Systeme und Server zuzugreifen, für die das jeweilige Konto eine Berechtigung hat. In den vergangenen Jahren wurden so mehrere Hochschulen monatelang lahmgelegt. Die Angreifer verschlüsselten Daten, blockierten Systeme und stellten erpresserische Geldforderungen. „Angefangen hat das in vielen Fällen mit Phishing-Mails“, sagt Kamp.

Um in Zukunft zu verhindern, dass Konten per Phishing übernommen werden können, hat das Präsidium beschlossen, die sogenannte Zwei-Faktor-Authentisierung einzuführen. Anfang März ist das IT-Großprojekt gestartet. „Wenn man sich in Zukunft bei einem System wie zum Beispiel Webmail anmeldet, reichen Kennung und Passwort nicht mehr aus, sondern man braucht einen zweiten Faktor, um seine Identität nachzuweisen“, erläutert Projektleiter Ulrich Czernik. Er ist bei den IT-Diensten zuständig für die Verwaltung der Nutzerkonten der Universitätsangehörigen.

Ein Arbeitswerkzeug wie der Schlüssel fürs Büro

Das Prinzip dahinter dürften viele bereits vom Online-Banking oder anderen digitalen Dienstleistungen kennen: Wo Konten bereits durch die Zwei-Faktor-Authentisierung geschützt sind, landet man meist nach der Eingabe des gewohnten Passworts bei einer weiteren Schranke. Man muss beispielsweise über eine App, einen Stick oder mit einem biometrischen Merkmal bestätigen, dass man wirklich der wahre Eigentümer des Kontos ist. „Auf diesem Weg wird verhindert, dass Unbefugte sich Zugang zu Daten oder Funktionen verschaffen, nur weil sie in den Besitz des Passworts gelangt sind“, so Czernik.

An der Universität soll der zweite Faktor für alle Mitarbeitenden ein sogenannter Security Token sein – entweder eine Art USB-Stick, den man in seinen Rechner steckt, oder ein kontaktlos funktionierender Transponder, den man an sein Tablet oder Smartphone halten muss, wenn man mit der Arbeit beginnen will. „Im Grunde ist dieser Security Token genauso ein Arbeitswerkzeug wie der Schlüssel fürs Büro“, sagt Czernik. Für Studierende und Gäste der Universität ist eine andere Lösung vorgesehen: Sie sollen sich über eine spezielle Software – eine App auf dem Handy – ausweisen können. „Die Kombination der zwei Faktoren ergibt einen deutlich höheren Schutz vor Missbrauch“, betont Czernik. Das Verfahren sei mittlerweile Stand der Technik.

Bis es losgeht, haben die IT-Fachleute der Universität allerdings noch einiges zu tun. Beim Kick-Off-Meeting Anfang März wurden alle Projektbeteiligten an Bord geholt – darunter auch Vertreterinnen und Vertreter der Dezernate und Fakultäten. Im nächsten Schritt geht es darum, mit Hilfe einer Beratungsfirma das zukünftige Authentifizierungssystem mit allen Details festzulegen.

Pilotuntersuchungen in spezieller Testumgebung

Im Sommer sollen dann Pilotuntersuchungen in einer speziellen Testumgebung stattfinden. Die ersten Systeme, die umgestellt werden, sind die Anwendungen Webmail, VPN sowie die Plattformen konto.uol.de und pw.uol.de, über die Nutzerinnen und Nutzer ihre persönlichen Einstellungen ändern können. „Insbesondere der VPN-Tunnel ist wichtig, weil sich darüber eine Verbindung von außen in das Campusnetz herstellen lässt“, erläutert der Projektleiter. Parallel müssen die IT-Dienste im Hintergrund einige größere technische Änderungen an der Systemarchitektur vornehmen: Einige derzeit als Insellösung organisierte Dienste und Systeme sollen auf ein zentrales System umgestellt werden. „Außerdem müssen wir einige ältere Systeme technisch erst einmal in die Lage versetzen, dass sie den zweiten Faktor akzeptieren können“, berichtet Czernik. Läuft alles nach Plan, könnte die neue Zugangsmethode ab Herbst oder Winter Schritt für Schritt eingeführt werden. 

Ziel des Projektteams ist es, einen soliden, möglichst ausfallsicheren Standard zu etablieren und es gleichzeitig den Nutzerinnen und Nutzern so einfach und komfortabel wie möglich zu machen – damit das Einloggen auf dem Computer auch weiterhin so einfach bleibt wie das Aufschließen eines Schlosses.