Quelle: Freepik
Hochschulen werden immer häufiger Ziel von Cyberangriffen. Dabei ist die aktuelle Gefährdungslage laut Bundesamt für Sicherheit (BSI) so hoch wie nie zuvor [1]. Angesichts dieser wachsenden Bedrohung und der steigenden Anzahl entsprechender Attacken hat das Ministerium für Kultur und Wissenschaft (MKW) des Landes Nordrhein-Westfalen Ende 2023 eine Vereinbarung zur Cybersicherheit an den Hochschulen (VzC) veröffentlicht. Diese dient mit insgesamt 12 Maßnahmen als Grundlage zur Sicherung der Hochschulnetze. Parallel empfiehlt das BSI regelmäßig gezielte Maßnahmen zur Abwehr von Bedrohungen.
Vor diesem Hintergrund ist auch der besondere Schutz der IT-Infrastruktur der RWTH Aachen zunehmend unverzichtbar.
Vereinbarung zur Cybersicherheit
Die Vereinbarung zur Cybersicherheit besteht zwischen sämtlichen Hochschulen NRWs sowie dem Hochschulbibliothekszentrum des Landes NRW (hbz) und dem MKW im Einvernehmen mit der Digitalen Hochschule NRW (DH.NRW) [2]. Vorrangiges Ziel ist es die Hochschulen und das hbz mit den vorgegebenen Maßnahmen besser vor Cyberangriffen zu schützen und im Schadenfall zügig und möglichst ohne Datenverlust die IT-Systeme wieder herstellen zu können. Das Land NRW hat den Hochschulen zu diesem Zweck im Jahr 2023 insgesamt 41,15 Millionen Euro aus dem Sondervermögen zur Krisenbewältigung zur Verfügung gestellt.
Eine der dort manifestierten Maßnahmen ist die schrittweise Einführung einer Zwei- beziehungsweise Multifaktor-Authentifizierung (MFA). Durch diese ist für Mitarbeitende, Studierende und Angehörige der RWTH neben den bereits vorhandenen Login-Daten ein zusätzlicher Sicherheitscode erforderlich, um auf die IT-Services zugreifen zu können.
Wie die schrittweise Einführung an der RWTH für verschiedene Services erfolgt ist, schildern wir euch im folgenden Teil des Blogbeitrags.
Was ist MFA?
Doch zunächst zurück an den Anfang: Was ist die MFA überhaupt? Es handelt sich dabei um ein Sicherheitsverfahren, bei dem ihr neben euren
normalen Anmeldedaten wie Benutzername und Kennwort einen zusätzlichen Sicherheitscode eingeben müsst. Erst dann könnt ihr auf eure digitalen Ressourcen wie Geräte, Netzwerke oder Onlinedienste zugreifen.
Dieser Code wird durch ein separates Gerät oder eine App generiert. Ihr kennt es wahrscheinlich schon vom Online-Banking oder bei der Benutzung eurer Krankenkassen-App. Weitere Informationen und eine detaillierte Erklärung zu allgemeinen MFA-Mechanismen findet ihr in unserem Blogbeitrag „Sicherheitsmechanismen kurz erklärt: MFA“.
MFA auf dem Cluster
Seit 2020 sind mehrere Supercomputer beziehungsweise Hochleistungsrechner in Europa Hackerangriffen zum Opfer gefallen. Um solche Angriffe zu verhindern, wurde bereits im vergangenen Jahr die Pilotphase für die Multifaktor-Authentifizierung auf einem Login-Knoten des HPC-Clusters erfolgreich eingeführt.
Am 15. Januar 2024 wurde die MFA verbindlich für die Sicherheit des gesamten Clusters eingeführt, sodass der Zugang seither zu jedem Dialog-/Frontend-Knoten nur noch mit einem zweiten Faktor möglich ist. Der Zugriff auf unsere HPC-Systeme wird durch die MFA vor Missbrauch durch Dritte geschützt, was insbesondere im Hinblick auf den Schutz eurer Forschungsdaten relevant ist.
MFA für das VPN
Gestartet ist die Einführung von MFA für VPN am 1. Februar 2024. Ab da hattet ihr die Möglichkeit, die Nutzung von MFA bei eurer Einwahl ins VPN zu testen. Ihr konntet das VPN weiterhin nutzen, auch ohne vorher einen weiteren Faktor beziehungsweise Token gewählt zu haben. Die verpflichtende Einführung kam nach einer sechswöchigen Testphase am 19. März 2024. Seitdem benötigt ihr in jedem Fall für die Nutzung des VPNs der RWTH einen Token.
MFA für den SSO
Besonders weitreichend war die Einführung der MFA für den RWTH Single Sign-On (SSO). Schließlich nutzen Mitarbeitende, Studierende und weitere Angehörige diesen mehrmals täglich, um auf ihre gewünschten Services wie RWTHonline, RWTHmoodle, SAP Fiori, GigaMove und vielen weitere zugreifen zu können.
Die ersten Schritte in diese Richtung begannen bereits im vergangenen Jahr. Da wurde der IdM Selfservice mit dem für die Einrichtung nötigen so genannten Tokenmanager ausgestattet. Auf diesen konnte man bereits zum damaligen Zeitpunkt ohne Token zugreifen, sofern man noch keinen eingerichtet hatte. Mit Einrichtung des ersten Tokens war und ist auch heute der Tokenmanager geschützt und ohne Token nicht zugänglich.
Eine Testphase für den SSO, wie es sie beim VPN gab, war technisch jedoch nicht möglich. Doch dafür wurde zum 2. Mai 2024 eine Testwebsite entwickelt, mit der ihr eure generierten Token testen konntet. Zum 2. Juli 2024 wurde schließlich die MFA für alle Services, die mit dem RWTH SSO geschützt sind, verpflichtend eingeführt.
Fazit und Hilfestellung
MFA erhöht die Sicherheit erheblich: Selbst, wenn ein Authentifizierungsfaktor kompromittiert wird, ist der Zugriff immer noch durch weiteren Faktor geschützt. Eine genauere und ausführlichere Erklärung findet ihr im Video des BSI.
Trotz einiger Herausforderungen konnte die MFA zur Sicherung der Cybersicherheit wie geplant an der RWTH eingeführt werden. Wir alle gewöhnen uns an die neuen Abläufe und haben im Sinne der Sicherheit und der MKW-Vereinbarung Fortschritte erzielt. Dennoch bleibt noch viel zu tun – wir bleiben weiterhin dran!
Anleitungen zur Einrichtung eures ersten Tokens, von MFA für VPN und MFA für SSO findet ihr auf unserem Dokumentationsportal IT Center Help. Auf unserem YouTube-Kanal steht euch ebenfalls eine Playlist mit verschiedenen Tutorials zur Einrichtung von MFA zur Verfügung. Schaut vorbei!
Verantwortlich für die Inhalte dieses Beitrags sind Jelena Nikolic, Nicole Wießner und Tanja Wittpoth-Richter.
Als Informationsgrundlage für diesen Beitrag dienten folgende Quellen:
[1] https://www.mkw.nrw/hochschule-und-forschung/digitalisierung-hochschule-und-wissenschaft/cybersicherheit
[2] https://www.mkw.nrw/system/files/media/document/file/vereinbarung_zur_cybersicherheit_vzc.pdf
Schreibe einen Kommentar