Nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist die aktuelle Gefährdungslage im nationalen Cyberraum so hoch wie nie. Aufgrund ihrer offenen Struktur und systemisch bedingten heterogenen IT-Landschaften, stehen die Hochschulen vor besonderen Herausforderungen im Bereich der Informations- und IT-Sicherheit. Cyberkriminalität und Bedrohungen aus dem Netz gehören mittlerweile zum Alltag an den Wissenschaftseinrichtungen.

Die Landesregierung stärkt die Hochschulen in Nordrhein-Westfalen daher mit vielfältigen Maßnahmen im Bereich der Cybersicherheit. Viele dieser Maßnahmen, wie die Mittel für eine Verbesserung der Resilienz im Bereich der Cybersicherheit, der Datensafe.nrw, das SOC-HAW.nrw und die Vereinbarung zur Informationssicherheit sind alleine in 2023 auf den Weg gebracht worden.

Aus dem Sondervermögen zur Krisenbewältigung stellt das Land Nordrhein-Westfalen den Hochschulen in 2023 insgesamt 41,15 Millionen Euro zur Verbesserung ihrer Resilienz im Bereich Cybersicherheit zur Verfügung. Im Fokus stehen dabei Maßnahmen, die schnell wirksam werden können. Hierzu zählen der Erwerb von Softwarelösungen für ein Schwachstellenmanagement, Zertifizierungen und Beratungen zur Wirksamkeit oder zum Aufbau eines Informationssicherheitsmanagementsystems sowie von Notfall- und Recovery-Plänen oder die Einführung einer Zwei-Faktor-Authentifizierung, Next Generation Firewalls und die Verbesserung der Notstromversorgung.

Mit rd. 14 Millionen Euro fördert Nordrhein-Westfalen den Aufbau eines modernen und effektiven IT-Basisdienstes zur Bereitstellung eines kooperativen Betriebsmodells für eine hochschulübergreifende Datensicherung. Unter der Federführung der RWTH Aachen installieren insgesamt drei Universitäten sukzessive eine nachhaltige und zeitgemäße Speicherinfrastruktur, welche sie den anderen Standorten anschließend als Service zur Verfügung stellen. Durch die an wenigen Standorten konsolidierte Infrastruktur wird für den Hochschulbetrieb aller beteiligten Hochschulen damit ein besserer Service im Bereich der Datensicherung und –wiederherstellung zur Verfügung gestellt. Die Hochschulen haben so die Möglichkeit, ihre Daten außerhalb der eigenen Infrastruktur zu sichern und profitieren im Havariefall von einer schnellen Datenwiederherstellung. Damit bildet dieser IT-Basisdienst, der für alle öffentlich-rechtlichen Hochschulen in Nordrhein-Westfalen offensteht, eine tragende Säule der Cybersicherheit an den Hochschulen in Nordrhein-Westfalen.

Um die Resilienz vor Cyberangriffen zusätzlich an den Dienstleistungsstandorten zu stärken, investiert das Land in 2023 weitere fünf Millionen Euro in einen Datensafe an der Universität zu Köln, der der nochmaligen Absicherung betriebskritischer Daten dienen soll. Diese Plattform wird bei der Universität zu Köln in einer Weise betrieben, dass ein schädlicher Zugriff auf die dort abgelegten Daten praktisch nicht möglich sein wird. Auf diese Weise wird in Erweiterung zur Datensicherung.nrw im Regelbetrieb eine letzte Rückfallposition - ein Datensafe - zur Sicherstellung der Handlungsfähigkeit der Hochschulen errichtet.

Weitere Informationen können Sie hier abrufen: https://datensicherung.dh.nrw/de/

Das Ministerium für Kultur und Wissenschaft stärkt die Cybersicherheit an den Hochschulen in Nordrhein-Westfalen ab 2024 mit einer Vereinbarung zur Cybersicherheit (VzC) mit den Hochschulen. 

Mit der zum 1. Januar 2024 in Kraft getretenen Vereinbarung werden den Hochschulstandorten und dem Hochschulbibliothekszentrum des Landes Nordrhein-Westfalen (hbz) dauerhaft Mittel in Höhe von insgesamt rd. 4,7 Millionen Euro pro Jahr für zusätzlich 66 Stellen für die Cybersicherheit zur Verfügung gestellt. Hinzu kommen für den Vertragszeitraum von 2024 bis 2027 insgesamt weitere rd. 30 Millionen Euro für befristete Stellen und der Beauftragung externer Beratungsunternehmen.

Mit der „Vereinbarung für Cybersicherheit“ fokussieren wir uns gemeinsam mit den Hochschulen auf die Absicherung der Rechenzentren und der Verwaltungs-IT an den Hochschulen und dem hbz. Mit der Basis-Absicherung nach IT-Grundschutz-Methodik des BSI und – soweit es sich um Daten oder IT-Services mit hohen Schutzbedarf handelt – mit der Standard-Absicherung nach IT-Grundschutz-Methodik des BSI setzen wir einen landesweiten Mindeststandard zum Schutz der Hochschulen in Nordrhein-Westfalen. Innerhalb von drei Jahren sollen alle Hochschulen in Nordrhein-Westfalen und das hbz diesen Mindeststandard umgesetzt haben und  nach einem weiteren Jahr ein BSI-Testat hierzu vorlegen. Alle weiteren IT-Systeme an den Hochschulen und dem hbz müssen von diesen geschützten Systemen abgegrenzt und so isoliert werden, dass im Fall von Cyberangriffen auf diese Systeme eine Kompromittierung der geschützten Systeme wirkungsvoll verhindert wird.

Darüber hinaus haben wir gemeinsam mit den Hochschulen und dem hbz Mindeststandards zur Einführung einer Zwei-Faktor-Authentifizierung, dem IT-Notfallmanagement, der Backup- und Wiederherstellungsstrategie, der regelmäßigen Durchführung von Wiederanlauftests und dem Angebot von verpflichtenden Schulungsangeboten für die Mitarbeitenden vereinbart. 

Das bereits Mitte 2023 gegründete Netzwerk Informationssicherheit.nrw soll zudem weitere hochschulübergreifende Aufgaben übernehmen bzw. Services für die Hochschulen und das hbz anbieten.

Die Vereinbarung zur Cybersicherheit an den Hochschulen (VzC) ist hier verfügbar:

Das Ministerium für Kultur und Wissenschaft stärkt die Informationssicherheit an den Hochschulen in Nordrhein-Westfalen in 2023 mit einer ersten Vereinbarung zur Informationssicherheit mit den Hochschulen.

Mit der zum 1. Juli 2023 in Kraft getretenen Vereinbarung werden den Hochschulstandorten dauerhaft Mittel in Höhe von insgesamt rd. 2,7 Millionen Euro pro Jahr für die Stelle einer bzw. eines Informationssicherheitsbeauftragten gemäß BSI-Standard 200-2 zur Verfügung gestellt. Die Stelle ist außerhalb der IT oder der Rechenzentren einzurichten und muss direkt der Leitungsebene zugeordnet sein. Die Hochschulen sichern zugleich zu, mit der Einführung der Basis-Absicherung nach IT-Grundschutz-Methodik des BSI zu beginnen und die Verwaltungs-IT sowie Bereiche mit hohem Schutzbedarf nach der Standard-Absicherung nach IT-Grundschutz-Methodik des BSI zu schützen.

Die Vereinbarung zur Informationssicherheit an den Hochschulen (VzI) ist hier verfügbar:

In der Vereinbarung zur Informationssicherheit haben sich die Hochschulen auch zum Aufbau eines Netzwerkes zur kooperativen Stärkung der Informationssicherheit und des Datenschutzes an den NRW-Hochschulen verpflichtet, um hochschulübergreifende Synergien zu schaffen. Wesentlicher Teil dieses „Netzwerks Informationssicherheit.nrw“ (NISHS.nrw) sind die vorhandenen und durch die Vereinbarung zur Informationssicherheit (VzI) geförderten zusätzlichen Stellen an den Hochschulen. Unterstützend dazu wird die Einrichtung eines koordinierenden zentralen NRW-Teams, mit der Funktion vergleichbar zu einer Beratungs- und Koordinierungsstelle mit entsprechenden Lenkungsstrukturen für das Team sowie flexibler Arbeitsgruppen vorgenommen. Die Hochschulen richten dazu an der Universität Siegen eine „Landesgeschäftsstelle NISHS.nrw“ ein, die zunächst mit vier Mitarbeitenden startet. Für die beiden Leitungsstellen stellt das Land die Mittel bereits ab 2024 dauerhaft zur Verfügung.

Die Geschäftsstelle stellt auch die Gefährdungslage und Umsetzung der Informationssicherheit an den Hochschulen regelmäßig dar. Dies schafft wertvolle Synergieeffekte, von denen alle Wissenschaftseinrichtungen profitieren.

Die Aufgaben des Netzwerks NISHS.nrw sind im Einzelnen im Konzept Netzwerk Informationssicherheit der DH.NRW geregelt:

Nordrhein-Westfalen investiert 5,3 Millionen Euro über drei Jahre in den Aufbau eines Security Operation Centers der Hochschulen für angewandte Wissenschaften, der Kunst- und Musikhochschulen und der Deutschen Sporthochschule in Köln (SOC-HAW.nrw). Gerade kleinere Standorte profitieren von der Nutzung gemeinsamer Ressourcen in den Bereichen des Schwachstellen-Scannings sowie der hochschulübergreifenden Analyse und Bewertung kritischer Ereignisse. Hierdurch wird die Cybersicherheit an den Wissenschaftseinrichtungen nachhaltig ausgebaut und gestärkt. Das Angebot wird ab 2024 zur Verfügung stehen. Perspektivisch soll der Service Teil des zukünftigen IT-Dienstleisters „Hochschul-IT-Services.NRW“ werden.

Die Landesregierung stärkt die Informations- und IT-Sicherheit an den Hochschulen gezielt im Bereich des zentralen E-Mail-Schutzes. Für eine zukunftsweisende und ausfallsichere Abwehr von E-Mails mit schädlichen Inhalt hat das Land 2,5 Millionen Euro in den Aufbau einer Cloud-Technologie als Anti-Spam-Cluster der Hochschulen in NRW investiert.

Das an der Westfälischen Hochschule Gelsenkirchen ansässige Institut für Internet-Sicherheit— if(is) und das an der Fachhochschule Dortmund ansässige Institut für die Digitalisierung von Arbeits- und Lebenswelten (IDiAL) haben mit der Selbstlernakademie für Cyber- und ITSicherheit (SecAware.nrw) gemeinsam ein Online-Selbstlernangebot zum Thema Cyber- und IT-Sicherheit für die Hochschulen in Nordrhein-Westfalen erstellt. Die Finanzierung durch das Land Nordrhein-Westfalen im Umfang von 750.000 Euro erfolgte auf Basis der Ausschreibung für die Produktion eines modularisierten Online-Selbstlernangebots zum Thema Cyber- und Informationssicherheit in 2021.

SecAware.nrw ist ein modular aufgebautes Online-Selbstlernangebot zum Thema Cyber- und Informationssicherheit für die Hochschulen in Nordrhein-Westfalen. Dieses Lernangebot sensibilisiert die Nutzenden und schafft bzw. stärkt die entsprechenden IT-Kompetenzen im Kontext Cyberattacken. Es kann im Rahmen der Sensibilisierungsmaßnahmen für Studierende und Lehrende an den Hochschulen eingesetzt werden. Die Lerninhalte decken das gesamte Spektrum der Cyber- und Informationssicherheit ab und konfrontieren die Teilnehmenden mit realen Gefährdungslagen in ihrer digitalen Arbeits- und Alltagswelt. Durch fallbasiertes Lernen fördert es eine höhere Identifikation mit dem Themenkomplex und steigern die Eigenmotivation zur Problemlösung.

Da das Bedrohungsbild durch Gefahren im Internet in steter Bewegung ist, wird SecAware.nrw auch zukünftig auf dem aktuellsten Stand gehalten, um flexibel auf neue Risiken einzugehen und den Nutzenden bestmögliche IT-Kompetenzen im Kontext der sicheren und vertrauenswürdigen Nutzung von IT zu vermitteln. Die geplanten neuen Lerninhalte nehmen direkten Bezug auf aktuelle technologische Entwicklungen wie etwa die rasche Verbreitung von Kl gestützten Tools. Bestehende Lerninhalte werden regelmäßig geprüft und bei Notwendigkeit schnellstmöglich angepasst und aktualisiert. Hierbei arbeitet das Projekt eng mit dem Netzwerk Informationssicherheit.nrw zusammen. Das Land Nordrhein-Westfalen stellt hierzu bis Ende 2026 weitere 1,6 Millionen Euro zur Verfügung.

Sie erreichen SeAware.nrw über den folgenden Link: https://secaware.nrw/