• Im Hintergrund Laptop, auf dem undeutlich die Webseite eines Onlineshops zu sehen ist, im Vordergrund Hand, die ein Handy hält, auf dem ein verschlüsseltes Passwort eingegeben wurde.

    Viele Online-Dienste verwenden bereits die Zwei-Faktor-Authentisierung. Dabei bieten etwa eine Abfrage über eine App auf dem Handy oder ein sogenannter Security Token zusätzliche Sicherheit. An der Universität sind für Mitarbeitende und Studierende unterschiedliche Lösungen vorgesehen. AdobeStock / khunkornStudio

Mehr Sicherheit für das Uni-Netzwerk

An der Universität wird demnächst die Zwei-Faktor-Authentisierung eingeführt – ein notwendiger Schritt, um die Computersysteme vor unerwünschten Eindringlingen zu schützen.

An der Universität wird demnächst die Zwei-Faktor-Authentisierung eingeführt – ein notwendiger Schritt, um die Computersysteme vor unerwünschten Eindringlingen zu schützen.

Der 25. Februar 2023 war kein guter Tag für die Universität Oldenburg. Über sogenannte Phishing-Mails konnten Angreifer mehrere Benutzerkonten der Hochschule hacken. Die Kriminellen hatten Mitarbeitende über E-Mails dazu verleitet, ihr Passwort auf gefälschten Webseiten einzugeben. Mit den gestohlenen Zugangsdaten verschickten die Hacker weitere betrügerische Mails. Insgesamt mehr als 80.000 Spam-Mails brachten sie an diesem und dem folgenden Tag in Umlauf. Die Konsequenz: Die Universität landete auf mehreren schwarzen Listen. Viele Server blockierten Mails mit der Endung „uni-oldenburg.de“ automatisch. Bis es wieder möglich war, E-Mails reibungslos zu verschicken, dauerte es mehrere Tage.

Dass solche Angriffe keine Einzelfälle, sondern Ausdruck einer anhaltenden Bedrohung sind, zeigte eine weitere, massive Hackerattacke, die die Universität im Sommer des vergangenen Jahres traf. Nur mit großem Einsatz und Know-how gelang es den IT-Fachleuten, den Angriff abzuwehren. „Insgesamt sind wir bislang noch relativ glimpflich davongekommen“, sagt Thorsten Kamp, in der Stabsstelle für Datenschutz- und Informationssicherheitsmanagement zuständig für Sicherheit. Theoretisch könnten Angreifer, die einen Account gehackt haben, noch viel mehr Unheil anrichten. Denn mit den Zugangsdaten sind sie in der Lage, auf alle Systeme und Server zuzugreifen, für die das jeweilige Konto eine Berechtigung hat. In den vergangenen Jahren wurden so mehrere Hochschulen monatelang lahmgelegt. Die Angreifer verschlüsselten Daten, blockierten Systeme und stellten erpresserische Geldforderungen. „Angefangen hat das in vielen Fällen mit Phishing-Mails“, sagt Kamp.

Um in Zukunft zu verhindern, dass Konten per Phishing übernommen werden können, hat das Präsidium beschlossen, die sogenannte Zwei-Faktor-Authentisierung einzuführen. Anfang März ist das IT-Großprojekt gestartet. „Wenn man sich in Zukunft bei einem System wie zum Beispiel Webmail anmeldet, reichen Kennung und Passwort nicht mehr aus, sondern man braucht einen zweiten Faktor, um seine Identität nachzuweisen“, erläutert Projektleiter Ulrich Czernik. Er ist bei den IT-Diensten zuständig für die Verwaltung der Nutzerkonten der Universitätsangehörigen.

Ein Arbeitswerkzeug wie der Schlüssel fürs Büro

Das Prinzip dahinter dürften viele bereits vom Online-Banking oder anderen digitalen Dienstleistungen kennen: Wo Konten bereits durch die Zwei-Faktor-Authentisierung geschützt sind, landet man meist nach der Eingabe des gewohnten Passworts bei einer weiteren Schranke. Man muss beispielsweise über eine App, einen Stick oder mit einem biometrischen Merkmal bestätigen, dass man wirklich der wahre Eigentümer des Kontos ist. „Auf diesem Weg wird verhindert, dass Unbefugte sich Zugang zu Daten oder Funktionen verschaffen, nur weil sie in den Besitz des Passworts gelangt sind“, so Czernik.

An der Universität soll der zweite Faktor für alle Mitarbeitenden ein sogenannter Security Token sein – entweder eine Art USB-Stick, den man in seinen Rechner steckt, oder ein kontaktlos funktionierender Transponder, den man an sein Tablet oder Smartphone halten muss, wenn man mit der Arbeit beginnen will. „Im Grunde ist dieser Security Token genauso ein Arbeitswerkzeug wie der Schlüssel fürs Büro“, sagt Czernik. Für Studierende und Gäste der Universität ist eine andere Lösung vorgesehen: Sie sollen sich über eine spezielle Software – eine App auf dem Handy – ausweisen können. „Die Kombination der zwei Faktoren ergibt einen deutlich höheren Schutz vor Missbrauch“, betont Czernik. Das Verfahren sei mittlerweile Stand der Technik.

Bis es losgeht, haben die IT-Fachleute der Universität allerdings noch einiges zu tun. Beim Kick-Off-Meeting Anfang März wurden alle Projektbeteiligten an Bord geholt – darunter auch Vertreterinnen und Vertreter der Dezernate und Fakultäten. Im nächsten Schritt geht es darum, mit Hilfe einer Beratungsfirma das zukünftige Authentifizierungssystem mit allen Details festzulegen.

Pilotuntersuchungen in spezieller Testumgebung

Im Sommer sollen dann Pilotuntersuchungen in einer speziellen Testumgebung stattfinden. Die ersten Systeme, die umgestellt werden, sind die Anwendungen Webmail, VPN sowie die Plattformen konto.uol.de und pw.uol.de, über die Nutzerinnen und Nutzer ihre persönlichen Einstellungen ändern können. „Insbesondere der VPN-Tunnel ist wichtig, weil sich darüber eine Verbindung von außen in das Campusnetz herstellen lässt“, erläutert der Projektleiter. Parallel müssen die IT-Dienste im Hintergrund einige größere technische Änderungen an der Systemarchitektur vornehmen: Einige derzeit als Insellösung organisierte Dienste und Systeme sollen auf ein zentrales System umgestellt werden. „Außerdem müssen wir einige ältere Systeme technisch erst einmal in die Lage versetzen, dass sie den zweiten Faktor akzeptieren können“, berichtet Czernik. Läuft alles nach Plan, könnte die neue Zugangsmethode ab Herbst oder Winter Schritt für Schritt eingeführt werden. 

Ziel des Projektteams ist es, einen soliden, möglichst ausfallsicheren Standard zu etablieren und es gleichzeitig den Nutzerinnen und Nutzern so einfach und komfortabel wie möglich zu machen – damit das Einloggen auf dem Computer auch weiterhin so einfach bleibt wie das Aufschließen eines Schlosses.

Das könnte Sie auch interessieren:

Arbeitsplatz Universität

„Immer ganz nah dran"

Sie hat ein offenes Ohr für Promovierende und bringt Menschen am STED-Mikroskop zusammen: ein Besuch bei Dr. Beate Grünberg im Graduiertenkolleg…

mehr
Arbeitsplatz Universität

„Antarktis war ein Höhepunkt“

Sie verbringt viel Zeit im Labor, war aber auch schon im Südpolarmeer: ein Besuch bei Birgit Kürzel, Technische Assistentin am ICBM.

mehr
Arbeitsplatz Universität

"Sozusagen sofort"

Sein Motto: Eine Fernleihe an der Universitätsbibliothek Oldenburg muss schnell sein. Ein Besuch bei Horst Rummel, seit 1994 Leiter der Fernleihe.

mehr
Presse & Kommunikation (Stand: 10.12.2024)  | 
Zum Seitananfang scrollen Scroll to the top of the page