„Montagmorgen, 7:42 Uhr“ – der leise Beginn eines Desasters.
Der erste Mitarbeitende kommt ins Rechenzentrum. Auf dem Monitor blinkt eine einzige Meldung: „Ihre Dateien wurden verschlüsselt.“ Noch bevor jemand versteht, was passiert ist, stehen Studierende vor verschlossenen Hörsälen, weil die Schließsysteme über das Netzwerk laufen. Die Bibliotheksausleihe hängt. In der Verwaltung geht kein einziges System mehr auf. Ein gezielter Ransomware-Angriff, eingeschleust über den kompromittierten Laptop eines Forschungsprojekts.
Oder: Ein unscheinbarer USB-Stick im Labor. Eine studentische Hilfskraft bringt einen USB-Stick mit Messdaten von einer externen Firma mit. Darauf befindet sich ein Trojaner, der sofort versucht, sich im Subnetz zu verbreiten. Am Abend sind mehrere Steuerungsrechner der Labortechnik lahmgelegt. Das ganze Experiment ist unbrauchbar.
Oder: „Bitte bestätigen Sie Ihre Uni-Mailadresse“ – die perfekte Phishing-Welle. Ein täuschend echtes Mailgateway-Imitat sammelt Zugangsdaten von hunderten Mitarbeitenden. Plötzlich melden sich Nutzerinnen und Nutzer, dass ihre Konten massenhaft Spam, Droh-Mails und Zahlungsaufforderungen verschicken. Die Universität muss die gesamte Passwortbasis zurücksetzen – mitten im Semester.
Oder: Ausfall der Kühlung – und die Server „schmelzen“ fast. Der Sensor im Klimaschrank meldet falsche Werte. Niemand merkt es. Mitten in einer Hitzewoche steigen die Temperaturen im Serverraum unbemerkt stark an. Als der Alarm endlich ausgelöst wird, reagieren zwei Systeme nicht mehr. Backups existieren – aber teilweise beschädigt. Die Wiederherstellung dauert Tage.
Oder: Identitätsdiebstahl über ein Drittanbietersystem. Eine externe Praktikumsplattform speichert Login-Daten unverschlüsselt. Ein Angriff dort führt zu validen Uni-Accounts im Darknet. Als die ersten automatisierten Angriffe starten, wird nur langsam klar: Die Schwachstelle lag gar nicht im eigenen Netzwerk – aber sie trifft das eigene IdM trotzdem voll.
Dies sind zum Glück nur fiktive Szenarien. Die Möglichkeiten sind aber echt. IT-Infrastruktur ist ein häufiges Angriffsziel. Sei es, um Rechenressourcen zu missbrauchen (z.B. für den Versand von Spammails oder für DDOS-Angriffe), sei es, um sich Forschungsergebnisse widerrechtlich anzueignen, sei es, um Lösegeld zu erpressen. Und manchmal versagt auch schlicht die Technik, ein Feuer bricht aus, eine Kühlung funktioniert nicht, irgendwas geht schief und macht viel kaputt. In einer zunehmend digitalen Welt ist ein solcher Ausfall der IT-Infrastruktur eine echte Bedrohung.
Wie kann sich also die FAU bestmöglich auf ein solches Szenario vorbereiten?
Die FAU hat schon vor einiger Zeit einen IT-Krisenstab eingerichtet, der von erweiterten IT-Krisenstäben (z.B. für die Bereiche Technik, Verwaltung, Fakultäten) unterstützt wird. Federführend ist hier der Chief Information Security Officer (CISO), Prof. Dr.-Ing. Michael Tielemann und sein Team im Security Operations Center (SOC). Aber die Universitätsleitung ist ebenso gefragt wie die Leitung vom RRZE, der rechtliche Beistand, der Datenschutz. Der gesamte IT-Krisenstab versammelt sich mindestens einmal im Jahr, um anhand eines vorher unbekannten Szenarios den Krisenfall zu üben. Das ist nicht nur wichtig, um sich die Arbeitsmethoden in der Krise genauer anzuschauen, sondern vor allem auch, um das Menschliche zu testen. Auch wenn die Übungsszenarien nur Übungsszenarien sind, gibt sich das Organisationsteam größte Mühe, um echtes Krisenfeeling herbei zu beschwören – Besuche von der Feuerwehr, panische Anrufe von einem Kollegen, der sich das Bein gebrochen hat und ausfällt, Socialmedia-Profile, die der FAU einen Shit-Storm gönnen oder ungeplante Besuche der Presse mitten in den IT-Krisenstabraum inklusive. Da kann man glatt vergessen, dass es „nur eine Übung ist“.
So sind wir am Ende einer IT-Krisenstab Notfallübung immer ein bisschen schlauer. Wir sehen klarer, wo unsere Kommunikation noch nachgebessert werden muss, wer wie unter Stress reagiert, wie sich die Verantwortlichkeiten auch mal umverteilen. Wir sehen aber auch, was schon funktioniert, wo wir gut vorbereitet sind, wie hoch unsere Resilienz ist.
Was können wir tun?
Und uns wird allen noch einmal mehr bewusst gemacht, was wir alle tun können, damit es gar nicht erst zu einem vermeidbaren IT-Krisenfall kommt:
- Multi-Faktor-Authentifizierung einschalten,
- ganz besonders gut bei Mails hinschauen, denn es könnte ein Phishing-Versuch sein,
- aufmerksam sein und auftretende Angriffe zeitnah melden.
Und nicht vergessen: Die CISO-Sprechstunde für weitere Informationen gibt es jeden 1. Mittwoch im Monat, zunächst wieder am 07.01.2026.
Dr. Monica Hinrichs-Mayer, 26.11.2025