Angriffe & Incidents

Angriffe auf Hochschulen

Im November 2022 wurde die Universität Duisburg-Essen (UDE) Opfer eines schwerwiegenden Ransomware-Angriffs. Die Angreifer verschlüsselten große Teile der IT-Infrastruktur, woraufhin die Universität sämtliche Systeme vom Netz nahm. Betroffen waren Büroanwendungen, interne Verwaltungssysteme, E-Mail-Verkehr und Telefonkommunikation — der gesamte digitale Betrieb stand still.

Hochschulen als systematisches Ziel

Die UDE war kein Einzelfall. Im gleichen Zeitraum wurden mehrere deutsche Hochschulen angegriffen. Die HAW Hamburg meldete im Dezember 2022 einen Ransomware-Vorfall, die Hochschule Karlsruhe im September 2022 und die Universität Gießen hatte bereits 2019 einen monatelangen IT-Ausfall nach einem Cyberangriff erlitten.

Das BSI stufte die Bedrohungslage für den Bildungssektor in seinem Lagebericht 2022 als erhöht ein. Der Grund: Hochschulen vereinen mehrere Risikofaktoren:

Große, heterogene IT-Landschaften: Tausende Endgeräte, dezentrale Verwaltung, Forschungsnetze mit speziellen Anforderungen
Offene Netzwerk-Kultur: Akademische Freiheit bedeutet oft liberale Zugriffsrichtlinien — ein Gegensatz zu Enterprise-Security
Begrenzte Security-Budgets: IT-Sicherheit konkurriert mit Forschungs- und Lehrbudgets und ist chronisch unterfinanziert
Wertvolle Daten: Forschungsdaten, Personaldaten von tausenden Mitarbeitern und Studierenden, Prüfungsdaten, Finanzdaten

Der Angriff auf die UDE im Detail

Die Universität informierte am 27. November 2022 über den Vorfall. Die gesamte IT-Infrastruktur wurde als Sofortmaßnahme abgeschaltet — ein Schritt, der den laufenden Lehrbetrieb massiv beeinträchtigte. E-Mail-Kommunikation war über Wochen nicht möglich, Prüfungen mussten verschoben werden, Verwaltungsprozesse liefen nur noch analog.

Die Wiederherstellung dauerte Monate. Die UDE setzte Notfall-Kommunikationskanäle ein und arbeitete mit externen IT-Forensikern und dem BSI zusammen. Der Vorfall verdeutlichte, wie abhängig moderne Hochschulen von ihrer digitalen Infrastruktur sind — und wie wenig Resilienz in vielen Fällen vorhanden ist.

Einordnung: Öffentliche Einrichtungen im Fadenkreuz

Hochschulen stehen exemplarisch für ein breiteres Problem: Öffentliche Einrichtungen mit begrenzten IT-Budgets sind systematisch unterbewacht. Kommunen, Krankenhäuser, Schulen und Universitäten bilden einen wachsenden Anteil der Ransomware-Opfer in Deutschland.

Der Angriff auf den IT-Dienstleister Südwestfalen-IT im Oktober 2023 zeigte die Dimension: Über 100 Kommunen waren gleichzeitig betroffen, Bürgerservices fielen monatelang aus. Die Parallele zu Hochschulen: In beiden Fällen führt ein einzelner erfolgreicher Angriff zum Ausfall von Diensten, die Tausende oder Zehntausende Menschen betreffen.

Handlungsempfehlungen für den Bildungssektor

Netzwerksegmentierung: Verwaltungsnetz, Forschungsnetz und Studierendennetz trennen. Ein kompromittiertes Studierenden-Gerät darf nicht das Verwaltungssystem erreichen
Backup-Strategie nach 3-2-1-Regel: Drei Kopien, zwei verschiedene Medien, eine offline. Regelmäßig getestete Wiederherstellung — nicht nur dokumentierte
SIEM-Monitoring: Auch mit begrenztem Budget ist zentrales Log-Management möglich. Open-Source-Lösungen wie Wazuh bieten Enterprise-Funktionalität ohne Lizenzkosten
Incident-Response-Plan: Wer wird informiert? Wer entscheidet über Abschaltung? Wie kommuniziert die Hochschule ohne E-Mail? Diese Fragen müssen vor dem Ernstfall geklärt sein

Juliane Heinen

Hochschulen sind systematisch unterbewacht — und Ransomware-Gruppen wissen das

Der Bildungssektor vereint alle Risikofaktoren: große IT-Landschaften, offene Netzwerke, begrenzte Budgets und wertvolle Daten.

Die Angriffswelle auf deutsche Hochschulen 2022/2023 — UDE, HAW Hamburg, Hochschule Karlsruhe — zeigt ein strukturelles Problem: Öffentliche Bildungseinrichtungen sind chronisch unterfinanziert in der IT-Sicherheit und gleichzeitig attraktive Ziele für Ransomware-Gruppen.

Bei NEOSEC arbeiten wir mit öffentlichen Einrichtungen, die genau dieses Problem lösen wollen. Unser Ansatz: Enterprise-Sicherheit mit Open-Source-Ökonomie. Unser XIEM®-Stack basiert auf Wazuh und bietet SIEM-Funktionalität ohne Lizenzkosten — entscheidend für Organisationen mit begrenztem Budget.

Drei Sofortmaßnahmen, die wir öffentlichen Einrichtungen empfehlen:

• Netzwerksegmentierung: Verwaltung, Forschung und Studierende in getrennte Segmente — ein kompromittierter Studierenden-Laptop darf nicht das SAP-System erreichen
• Zentrales Log-Management: Auch ohne dediziertes SOC ermöglicht ein SIEM die frühzeitige Erkennung von Ransomware-Vorboten wie laterale Bewegung und Privilege Escalation
• Getestete Backups: Die 3-2-1-Regel konsequent umsetzen — und die Wiederherstellung regelmäßig testen, nicht nur dokumentieren

Sie verantworten IT-Sicherheit an einer öffentlichen Einrichtung? Sprechen Sie mit uns über bezahlbare Lösungen.

Universität Duisburg-Essen — Informationen zum Cyberangriff (November 2022)
BSI — Die Lage der IT-Sicherheit in Deutschland 2022

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

AI Security

Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert

J. Benjamin Espagné 10. April 20268. April 2026

Security Operations Center stehen unter Druck. Die Alert-Volumen steigen, die Angriffstechniken werden komplexer, und qualifizierte Analysten sind Mangelware. KI wird oft als…

lesen Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert
AI Security

40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist

J. Benjamin Espagné 9. April 20268. April 2026

Im Jahr 2024 wurden über 40.000 neue CVEs veröffentlicht — ein Anstieg von 38 Prozent gegenüber dem Vorjahr. Die CISA führte davon…

lesen 40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist
NIS-2 & Compliance

BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit

J. Benjamin Espagné 9. April 20269. April 2026

Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen…

lesen BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit
In eigener Sache

10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo

J. Benjamin Espagné 8. April 20268. April 2026

NEOSEC wird zehn Jahre alt. Ein Jahrzehnt in der Cybersicherheit — das sind ungefähr sieben Generationen in Menschenjahren. Technologien, die bei unserer…

lesen 10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo
Wissen & Praxis

XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht

J. Benjamin Espagné 8. April 20268. April 2026

Splunk ist der Platzhirsch im SIEM-Markt. Seit über 20 Jahren das Standardwerkzeug in Enterprise-SOCs, mittlerweile Teil des Cisco-Portfolios, mit einem Ökosystem aus…

lesen XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht
Schwachstellen & Exploits

Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?

J. Benjamin Espagné 8. April 20268. April 2026

Die meisten Unternehmen mit SIEM-System gehen davon aus, dass sie Angriffe erkennen. Die wenigsten können sagen, welche. Detection Coverage — die systematische…

lesen Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?