- Forschungseinrichtungen sind in Anhang I der NIS2-Richtlinie als eigener Sektor gelistet, sofern ihre Forschungsergebnisse von erheblicher wirtschaftlicher Bedeutung sind. Betroffene Einrichtungen gelten als wesentliche Einrichtungen.
- Die größte Herausforderung ist der Spagat zwischen Offenheit (Wissenschaftsfreiheit, internationale Kollaboration, offene Netze) und Sicherheit (Schutz geistigen Eigentums, Exportkontrolle, Geheimschutz).
- Forschungseinrichtungen sind Hochwertziele für staatlich gesteuerte Angreifer (APT-Gruppen), die geistiges Eigentum, Forschungsdaten und Dual-Use-Technologien stehlen wollen.
- Drittmittelprojekte mit Industriepartnern oder dem Verteidigungssektor bringen eigene Compliance-Anforderungen mit, die in das ISMS integriert werden müssen.
- Ein außeruniversitäres Forschungsinstitut mit 200 Mitarbeitern kann die NIS2-Umsetzung in 12 Monaten schaffen, wenn es die Forschungskultur respektiert und Sicherheit als Enabler statt als Hindernis positioniert.
Warum Forschungseinrichtungen unter NIS2 fallen
Forschung und Entwicklung sind der Motor wirtschaftlicher Innovation und technologischer Souveränität. Wenn Forschungsergebnisse gestohlen, manipuliert oder zerstört werden, verlieren Unternehmen ihren Wettbewerbsvorteil, Staaten verlieren strategische Fähigkeiten und Jahre investierter Arbeit gehen verloren. Die europäische Gesetzgebung hat erkannt, dass Forschungseinrichtungen systematisch angegriffen werden und deshalb einen eigenen Schutz benötigen.
NIS2 listet Forschungseinrichtungen in Anhang I als Sektor hoher Kritikalität, allerdings mit einer wichtigen Einschränkung: Erfasst sind Forschungseinrichtungen, "soweit deren Forschungsergebnisse von erheblicher wirtschaftlicher Bedeutung oder Relevanz für die nationale Sicherheit sind." Diese Formulierung schließt nicht jede Forschungseinrichtung ein, aber sie erfasst ein breites Spektrum:
- Außeruniversitäre Forschungseinrichtungen: Fraunhofer-Institute, Max-Planck-Institute, Helmholtz-Zentren, Leibniz-Institute, DLR und weitere Einrichtungen, die anwendungsnahe oder strategisch relevante Forschung betreiben
- Hochschulen mit signifikanter Drittmittelforschung: Technische Universitäten und Fachhochschulen, die industriefinanzierte Forschung, Verteidigungsforschung oder EU-Forschungsprojekte in Schlüsseltechnologien durchführen
- Private Forschungsinstitute: Industrienahe Forschungseinrichtungen, die im Auftrag von Unternehmen Entwicklungsarbeit leisten
- Bundesanstalten und Ressortforschung: BAM, BfR, PTB, RKI und andere Bundeseinrichtungen mit Forschungsauftrag
Die Schwellenwerte (50 Mitarbeiter oder 10 Mio. Euro Umsatz/Haushalt) werden von den meisten größeren Forschungseinrichtungen überschritten. Ein typisches Fraunhofer-Institut hat 200 bis 500 Mitarbeiter und ein Jahresbudget von 20 bis 80 Millionen Euro. Große Helmholtz-Zentren beschäftigen mehrere Tausend Mitarbeiter.
Schwieriger ist die Abgrenzung bei Hochschulen. Eine Universität als Ganzes hat typischerweise Tausende Mitarbeiter und Hunderte Millionen Euro Haushalt, fällt also über die Schwellenwerte. Aber fallen die Forschungsergebnisse einer philosophischen Fakultät unter "erhebliche wirtschaftliche Bedeutung"? Die genaue Abgrenzung wird durch die nationale Umsetzung und die Praxis des BSI geklärt werden müssen. Klar ist: Hochschulen mit ingenieur- oder naturwissenschaftlicher Forschung in Schlüsseltechnologien (KI, Quantencomputing, Biotechnologie, Materialwissenschaften, Rüstungstechnologie) sind betroffen.
Die besondere Bedrohungslage: Forschung als Hochwertziel
Forschungseinrichtungen unterscheiden sich von den meisten anderen NIS2-Sektoren in einem fundamentalen Punkt: Sie sind bevorzugte Ziele staatlich gesteuerter Angreifergruppen (Advanced Persistent Threats, APTs). Die Motivation dieser Angreifer ist nicht finanzieller Gewinn durch Ransomware, sondern der Diebstahl geistigen Eigentums, technologischer Knowhows und strategischer Informationen.
Staatliche Angreifer und Industriespionage
Mehrere staatliche Nachrichtendienste betreiben systematische Cyberspionage gegen europäische Forschungseinrichtungen. Die Ziele variieren je nach Akteur:
- Technologiediebstahl: Forschungsergebnisse in Schlüsseltechnologien (Halbleiter, KI, Quantentechnologie, Biotechnologie) werden gestohlen, um eigene Forschungsprogramme zu beschleunigen
- Dual-Use-Technologien: Forschung, die sowohl zivile als auch militärische Anwendungen hat, ist besonders attraktiv. Materialwissenschaften, Drohnentechnologie, Kryptografie und Cybersicherheitsforschung fallen in diese Kategorie
- Pharmaforschung: Seit der COVID-19-Pandemie sind Impfstoffentwicklung, Wirkstoffforschung und klinische Studiendaten verstärkt im Fokus
Das Bundesamt für Verfassungsschutz warnt regelmäßig vor diesen Bedrohungen. Die Cyberangriffe auf deutsche Hochschulen haben in den letzten Jahren deutlich zugenommen: Die Universität Gießen (2019), die Universität Duisburg-Essen (2022) und die Hochschule Karlsruhe (2023) sind nur einige Beispiele. Nicht alle diese Angriffe sind staatlich gesteuert (Ransomware ist häufiger), aber die strategisch motivierten Angriffe sind besonders schwer zu erkennen und zu bekämpfen.
Das Dilemma: Offenheit vs. Sicherheit
Forschung lebt von Offenheit. Wissenschaftler publizieren ihre Ergebnisse, kooperieren international, laden Gastforscher ein und teilen Daten über Institutsgrenzen hinweg. Die Netzwerke an Hochschulen und Forschungseinrichtungen sind traditionell offen gestaltet, weil akademische Freiheit und Zusammenarbeit als höchste Güter gelten.
Dieses Prinzip steht in einem fundamentalen Spannungsfeld zur IT-Sicherheit:
- Offene Netzwerke: Hochschulnetze müssen zugänglich sein für Studierende, Gastforscher, Konferenzteilnehmer. Gleichzeitig müssen sensible Forschungsdaten geschützt werden.
- BYOD (Bring Your Own Device): Wissenschaftler nutzen private Laptops, Tablets und Smartphones für ihre Forschung. Ein MDM-Zwang wird als Eingriff in die akademische Freiheit empfunden.
- Internationale Zusammenarbeit: Forschungsdaten werden mit Partnern in der ganzen Welt geteilt, einschließlich Ländern, aus denen bekanntermaßen Cyberspionage betrieben wird.
- Dezentrale Strukturen: Lehrstühle, Institute und Forschungsgruppen haben traditionell eine hohe Autonomie, auch in IT-Fragen. Zentrale IT-Vorgaben werden als Einschränkung empfunden.
NIS2 erfordert, dieses Spannungsfeld aktiv zu managen, nicht indem Offenheit durch Abschottung ersetzt wird, sondern indem Sicherheitsmaßnahmen so gestaltet werden, dass sie die Forschung schützen, ohne sie zu behindern.
Branchenspezifische Anforderungen
Geistiges Eigentum: Der wertvollste Asset
Das wertvollste Asset einer Forschungseinrichtung ist nicht die IT-Infrastruktur, sondern das geistige Eigentum: Forschungsdaten, Algorithmen, Prototypen, Patentanmeldungen, Publikationsentwürfe und Knowhow, das in den Köpfen der Wissenschaftler steckt, aber auch auf Servern, in Datenbanken und auf Laptops gespeichert ist.
Die NIS2-Risikoanalyse muss dieses geistige Eigentum systematisch erfassen:
- Welche Forschungsprojekte enthalten vertrauliche oder strategisch relevante Ergebnisse?
- Wo sind diese Daten gespeichert? (Institutsserver, Cloud-Dienste, persönliche Laptops, externe Kooperationsplattformen)
- Wer hat Zugriff? (Forscher, Studierende, Gastforscher, Kooperationspartner)
- Welche Klassifizierung haben die Daten? (Öffentlich, intern, vertraulich, geheim)
Viele Forschungseinrichtungen haben bisher keine systematische Datenklassifizierung. Forschungsdaten werden auf lokalen Festplatten gespeichert, per E-Mail verschickt und auf USB-Sticks transportiert. NIS2 erfordert, dass diese Praktiken durch kontrollierte Prozesse ersetzt werden, ohne den Forschungsbetrieb lahmzulegen.
Drittmittelprojekte: Compliance als Vertragspflicht
Drittmittelprojekte bringen eigene Compliance-Anforderungen mit, die über NIS2 hinausgehen:
EU-Forschungsprogramme (Horizon Europe): Die EU fordert in Horizon-Europe-Projekten die Einhaltung von Datensicherheitsanforderungen, insbesondere wenn die Projekte als "EU Classified Information" eingestuft sind. Das betrifft Projekte in den Bereichen Verteidigung, Raumfahrt und innere Sicherheit.
Industrieprojekte: Wenn ein Forschungsinstitut im Auftrag eines Industrieunternehmens forscht, ist das Unternehmen an der Vertraulichkeit der Ergebnisse interessiert. Geheimhaltungsvereinbarungen (NDAs) sind Standard, aber die technische Umsetzung (verschlüsselte Speicherung, Zugriffskontrolle, sichere Zusammenarbeit) erfordert IT-Sicherheitsmaßnahmen.
Verteidigungsforschung: Projekte mit Verteidigungsbezug können der Geheimschutzbetreuung des BMWi unterliegen. Das bedeutet Personensicherheitsüberprüfungen, abgeschirmte Räume (Sicherheitszonen) und spezifische IT-Anforderungen, die weit über NIS2 hinausgehen.
Exportkontrolle: Forschungsergebnisse im Dual-Use-Bereich unterliegen der EU-Dual-Use-Verordnung. Der unkontrollierte Transfer dieser Daten ins Ausland kann strafbar sein. Die IT-Sicherheitsmaßnahmen müssen sicherstellen, dass exportkontrollpflichtige Daten nicht unkontrolliert abfließen.
Das ISMS einer Forschungseinrichtung muss in der Lage sein, diese projektspezifischen Anforderungen abzubilden, ohne für jedes Projekt ein eigenes Sicherheitskonzept zu entwickeln. Ein gestuftes Schutzmodell, das die Anforderungen verschiedener Projekttypen in definierte Schutzklassen überführt, ist der richtige Ansatz.
High-Performance Computing und Forschungsdaten-Management
Viele Forschungseinrichtungen betreiben High-Performance-Computing-Cluster (HPC), auf denen rechenintensive Simulationen, maschinelles Lernen und Datenanalysen laufen. Diese Systeme sind für die Forschung unverzichtbar und stellen besondere Sicherheitsanforderungen:
- Shared Infrastructure: HPC-Cluster werden von vielen Nutzern aus verschiedenen Projekten mit unterschiedlichen Schutzbedarfen gemeinsam genutzt. Die Mandantentrennung muss sicherstellen, dass Nutzer des Projekts A nicht auf Daten des Projekts B zugreifen können.
- Leistung vs. Sicherheit: Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrolle, Monitoring) dürfen die Rechenleistung nicht signifikant beeinträchtigen.
- Datenspeicherung: Forschungsdaten können enorme Volumina erreichen (Terabyte bis Petabyte). Backups, Verschlüsselung und Zugriffskontrolle müssen bei diesen Datenmengen performant funktionieren.
Netzwerkarchitektur: Segmentierung trotz Offenheit
Die Netzwerkarchitektur einer Forschungseinrichtung muss den Spagat zwischen Offenheit und Sicherheit abbilden. Das gelingt durch eine konsequente Segmentierung in Zonen mit unterschiedlichen Schutzbedarfen:
| Zone | Nutzung | Schutzbedarf | Zugang |
|---|---|---|---|
| Campusnetz | Allgemeine Internetnutzung, E-Mail, Web | Standard | Alle Mitarbeiter, Studierende, Gäste |
| Forschungsnetz (Standard) | Forschungsprojekte ohne besondere Vertraulichkeit | Erhöht | Mitarbeiter mit Berechtigung |
| Forschungsnetz (Vertraulich) | Industrieprojekte, patentrelevante Forschung, Dual-Use | Hoch | Nur Projektmitglieder, kontrollierter Zugang |
| HPC-Cluster | Rechenintensive Forschung | Erhöht bis Hoch (projektabhängig) | Berechtigte Nutzer per SSH-Key |
| Labornetze | IoT-Geräte, Messgeräte, Versuchsaufbauten | Erhöht | Laborpersonal |
| Verwaltungsnetz | ERP, Personalverwaltung, Finanzen | Hoch | Verwaltungspersonal |
| DMZ | Webserver, Kollaborationsplattformen, VPN-Gateway | Standard | Kontrollierter Zugang von außen |
| Sicherheitszone | Geheimschutz-relevante Projekte | Sehr hoch | Sicherheitsüberprüftes Personal, physisch isoliert |
Das Campusnetz bleibt offen, aber die sensiblen Bereiche sind durch Firewalls und Zugriffskontrolle geschützt. Wissenschaftler können sich frei im Campusnetz bewegen, aber der Zugang zum vertraulichen Forschungsnetz erfordert eine Authentifizierung und eine projektspezifische Berechtigung.
NIS2-Maßnahmen für Forschungseinrichtungen
Risikoanalyse: Projektbasiert statt pauschal
Die Risikoanalyse einer Forschungseinrichtung muss projektbasiert durchgeführt werden, weil der Schutzbedarf von Projekt zu Projekt variiert. Ein Grundlagenforschungsprojekt in der Mathematik hat einen anderen Schutzbedarf als ein Industrieprojekt zur Entwicklung eines neuen Halbleitermaterials.
Empfohlener Ansatz: Definiere drei bis vier Schutzklassen und ordne jedes Forschungsprojekt einer Schutzklasse zu – in ISMS Lite lässt sich diese projektbasierte Schutzklassenzuordnung direkt mit den jeweiligen Assets und Risikobewertungen verknüpfen. Die Zuordnung erfolgt auf Basis von Kriterien wie Vertraulichkeitsvereinbarungen, Exportkontrollrelevanz, Patentpotenzial und Auftraggeber.
| Schutzklasse | Kriterien | Maßnahmen |
|---|---|---|
| Offen | Grundlagenforschung, keine Vertraulichkeit | Standard-Campusnetz, institutseigener Datenspeicher |
| Intern | Forschung mit Publikationsvorbehalt, interne Daten | Forschungsnetz Standard, Zugriffskontrolle |
| Vertraulich | Industrieprojekte, Patente, Dual-Use | Forschungsnetz Vertraulich, verschlüsselte Speicherung, eingeschränkter Zugang |
| Streng vertraulich | Geheimschutz, Verteidigungsforschung, hochsensible Industrieprojekte | Sicherheitszone, physische Isolation, Personensicherheitsüberprüfung |
Zugriffskontrolle: Rollenbasiert und projektspezifisch
Das Berechtigungskonzept muss die dezentrale Struktur von Forschungseinrichtungen abbilden. Wissenschaftler wechseln Projekte, Gastforscher kommen und gehen, Doktoranden arbeiten an mehreren Projekten gleichzeitig.
Empfohlener Ansatz:
- Institutsmitarbeiter: Basiszugang zum Campusnetz und zum institutseigenen Datenspeicher. Zugang zu projektspezifischen Bereichen wird pro Projekt erteilt.
- Gastforscher: Temporärer Zugang, zeitlich begrenzt, auf das spezifische Projekt beschränkt. Onboarding-Prozess mit Sicherheitseinweisung.
- Studierende/Hilfskräfte: Eingeschränkter Zugang, kein Zugriff auf vertrauliche Projekte ohne explizite Genehmigung des Projektleiters.
- Administratoren: Privilegierte Zugänge mit MFA und Audit-Logging. Separation of Duties zwischen IT-Betrieb und Forschungsdaten-Zugriff.
Incident Response: Akademische Besonderheiten
Der Incident-Response-Plan einer Forschungseinrichtung muss einige Besonderheiten berücksichtigen:
- Wissenschaftsfreiheit: Maßnahmen, die den Forschungsbetrieb einschränken (Netzwerkisolation, Sperrung von Accounts), müssen abgewogen und verhältnismäßig sein. Eine pauschale Abschaltung des gesamten Netzwerks bei einem lokalisierten Vorfall wäre unverhältnismäßig.
- Forschungsdaten sichern: Forschungsdaten, die über Jahre erhoben wurden, sind oft unersetzlich. Der Incident-Response-Plan muss die Sicherung der Forschungsdaten priorisieren.
- Meldung an Drittmittelgeber: Bei Industrieprojekten kann ein Sicherheitsvorfall, der die Vertraulichkeit der Forschungsdaten gefährdet, eine Meldepflicht gegenüber dem Auftraggeber auslösen (neben der BSI-Meldung nach NIS2).
- Koordination mit DFN-CERT: Hochschulen und Forschungseinrichtungen, die über das Deutsche Forschungsnetz (DFN) angebunden sind, können die Incident-Response-Expertise des DFN-CERT nutzen.
Praxisbeispiel: Forschungsinstitut mit 200 Mitarbeitern
Ausgangslage:
Das Institut für Angewandte Materialforschung (fiktives Beispiel, angelehnt an ein typisches Fraunhofer- oder Leibniz-Institut) hat seinen Sitz in Baden-Württemberg. 200 Mitarbeiter (davon 120 Wissenschaftler, 30 technisches Personal, 50 Verwaltung), Jahresbudget 32 Millionen Euro, davon 22 Millionen Euro Drittmittel. Das Institut forscht an Hochleistungswerkstoffen, Beschichtungstechnologien und additiver Fertigung (3D-Druck). Die Kunden sind Automobilhersteller, Luft- und Raumfahrtunternehmen und Verteidigungsunternehmen.
Die IT-Infrastruktur:
- HPC-Cluster: 200 Rechenknoten, 2 Petabyte Datenspeicher, für Materialsimulationen und Machine-Learning-Modelle
- Labornetze: 3 Labore mit insgesamt 45 vernetzten Messgeräten (Elektronenmikroskope, Spektrometer, 3D-Scanner, Prüfmaschinen)
- Server-Infrastruktur: 12 physische Server (VMware-Cluster, Fileserver, Active Directory, GitLab, Backup)
- Arbeitsplätze: 170 PCs und Laptops (Wissenschaftler, Techniker, Verwaltung)
- Cloud-Dienste: Microsoft 365, Confluence (Wissensmanagement), Zoom (Videokonferenzen), AWS (für ML-Training on Demand)
- Kollaborationsplattformen: Nextcloud (On-Premise) für den Datenaustausch mit externen Partnern
- ERP-System: SAP (für Finanzen und Drittmittelverwaltung)
- Campusnetz: Offenes WLAN für Mitarbeiter, Studierende und Gäste, getrennte VLANs
Die IT-Abteilung umfasst 8 Mitarbeiter: einen IT-Leiter, 4 Systemadministratoren, einen HPC-Administrator, einen Security-Engineer und einen Helpdesk-Mitarbeiter. Das Institut hat einen IT-Sicherheitsbeauftragten, der die Rolle in Teilzeit wahrnimmt (20 Prozent seiner Arbeitszeit). Ein formales ISMS existiert nicht, aber grundlegende Sicherheitsmaßnahmen (Firewall, Endpoint-Protection, Backup) sind implementiert. Die Netzwerksegmentierung ist rudimentär: Es gibt VLANs, aber die Firewall-Regeln sind permissiv.
Besondere Situation: Das Institut führt drei Projekte mit Geheimschutzrelevanz durch (Auftraggeber aus dem Verteidigungssektor). Für diese Projekte existiert eine physisch isolierte Sicherheitszone mit eigenen Arbeitsplätzen, aber die Verbindung zur übrigen IT-Infrastruktur ist nicht sauber dokumentiert.
Phase 1: Bestandsaufnahme und regulatorische Einordnung (Monat 1-2)
Betroffenheitsanalyse: Das Institut fällt mit 200 Mitarbeitern und 32 Millionen Euro Budget unter NIS2. Die Forschung an Hochleistungswerkstoffen und Beschichtungstechnologien für die Luft- und Raumfahrt sowie den Verteidigungssektor ist von erheblicher wirtschaftlicher Bedeutung und nationaler Relevanz. Einstufung: wesentliche Einrichtung.
Regulatorische Bestandsaufnahme: Neben NIS2 unterliegt das Institut folgenden Regelwerken: Geheimschutzbetreuung BMWi (für Verteidigungsprojekte), EU-Dual-Use-Verordnung (Exportkontrolle für bestimmte Forschungsergebnisse), DSGVO (Mitarbeiterdaten, Daten aus klinischen Studien, falls vorhanden), Horizon-Europe-Anforderungen (für EU-Forschungsprojekte).
ISB stärken: Der bestehende IT-Sicherheitsbeauftragte wird von 20 auf 50 Prozent Zeitanteil aufgestockt. Der Security-Engineer in der IT-Abteilung unterstützt operativ.
Asset-Inventar und Projektinventar erstellen:
| Kategorie | Anzahl | Kritischstes Asset |
|---|---|---|
| HPC-Cluster | 200 Knoten, 2 PB Storage | ML-Modelle für Werkstoffoptimierung (Industrieaufträge) |
| Laborgeräte (vernetzt) | 45 | Elektronenmikroskop (Messdaten für patentrelevante Beschichtungen) |
| Server | 12 | GitLab (enthält Quellcode aller Forschungsprojekte) |
| Arbeitsplätze | 170 | Laptops der Wissenschaftler (Forschungsdaten lokal gespeichert) |
| Cloud-Dienste | 4 | AWS (ML-Training mit vertraulichen Datensätzen) |
| Sicherheitszone | 5 Arbeitsplätze | Verteidigungsprojekte (geheimschutzrelevant) |
Projektinventar (Schutzklassen):
| Schutzklasse | Anzahl Projekte | Beispiele |
|---|---|---|
| Offen | 12 | EU-Grundlagenforschung, DFG-Projekte |
| Intern | 18 | Laufende Dissertationen, institutseigene Vorlaufforschung |
| Vertraulich | 8 | Industrieprojekte (Automobilhersteller, Luft- und Raumfahrt) |
| Streng vertraulich | 3 | Verteidigungsprojekte (Geheimschutz) |
Besondere Feststellung: 23 von 120 Wissenschaftlern speichern Forschungsdaten auf lokalen Festplatten ihrer Laptops, ohne Verschlüsselung und ohne Backup. 7 Laptops mit vertraulichen Industrieprojektdaten werden regelmäßig auf internationale Dienstreisen mitgenommen. Die Nextcloud-Instanz für den externen Datenaustausch hat keine Zugriffslogs und keine Datenklassifizierung.
Phase 2: Risikoanalyse (Monat 3-4)
| Risiko | Auswirkung auf Forschung | Auswirkung auf Compliance | Bewertung |
|---|---|---|---|
| APT-Angriff auf Forschungsdaten | Verlust geistigen Eigentums, Wettbewerbsvorteil der Partner verloren | NIS2-Meldepflicht, NDA-Verletzung gegenüber Industriepartnern | Kritisch |
| Ransomware auf HPC-Cluster | Forschungsbetrieb steht still, Simulationsdaten verloren | NIS2-Meldepflicht, Projektverzögerungen | Kritisch |
| Laptop-Diebstahl auf Dienstreise | Vertrauliche Forschungsdaten abgeflossen | DSGVO-Meldepflicht, NIS2-Meldepflicht, NDA-Verletzung | Hoch |
| Kompromittierung der Nextcloud | Unbefugter Zugriff auf geteilte Forschungsdaten | NIS2-Meldepflicht, Vertrauensverlust bei Partnern | Hoch |
| Unbefugter Zugriff auf GitLab | Quellcode aller Projekte abgeflossen | Massiver Verlust geistigen Eigentums | Kritisch |
| Exportkontrollverstoß durch Datenabfluss | Strafbare Handlung, Verlust der Exportkontrolllizenz | Strafrechtliche Konsequenzen | Hoch |
| Gastforscher als Insider-Threat | Gezielter Datendiebstahl durch staatlich gesteuerten Akteur | Spionagefall, Reputationsschaden | Hoch |
Besonders kritisch identifiziert: Die fehlende Verschlüsselung der Laptops und die unkontrollierte Datenspeicherung auf lokalen Festplatten. Ein Laptop-Diebstahl auf einer internationalen Konferenz kann zum Verlust vertraulicher Forschungsdaten führen.
Phase 3: Technische Maßnahmen (Monat 5-8)
Laptop-Verschlüsselung und Backup (Monat 5, höchste Priorität):
- Alle 170 Arbeitsplätze (PCs und Laptops) erhalten eine Festplattenverschlüsselung (BitLocker)
- Forschungsdaten dürfen nicht ausschließlich lokal gespeichert werden. Ein institutsweites Forschungsdaten-Repositorium wird eingerichtet, auf das Wissenschaftler ihre Projektdaten synchronisieren. Lokale Kopien sind erlaubt, aber das Repositorium ist das führende System
- Laptops, die auf Dienstreisen mitgenommen werden, erhalten zusätzlich eine Pre-Boot-Authentication
Netzwerksegmentierung (Monat 5-7):
Das bestehende VLAN-Konzept wird um restriktive Firewall-Regeln erweitert:
- Campusnetz: Allgemeiner Internetzugang, keine Verbindung zu internen Forschungsnetzen
- Forschungsnetz Standard: Für offene und interne Projekte. Zugang per 802.1X-Authentifizierung
- Forschungsnetz Vertraulich: Für vertrauliche Industrieprojekte. Zugang nur mit MFA und projektspezifischer Berechtigung. Kein direkter Internetzugang, externer Datenaustausch nur über die gehärtete Nextcloud
- HPC-Zone: Zugang per SSH-Key und MFA. Mandantentrennung auf dem Cluster über Jobscheduler und Filesystem-ACLs
- Labornetze: Eigene Segmente pro Labor. Messgeräte kommunizieren nur mit definierten Datensammlungssystemen
- Sicherheitszone: Physisch isoliert, bleibt unverändert (bereits gemäß Geheimschutzanforderungen eingerichtet)
GitLab härten (Monat 6):
- MFA für alle GitLab-Nutzer
- Zugriffs-Audit: Wer hat wann auf welches Repository zugegriffen?
- Extern zugängliche Repositories werden überprüft: Sind versehentlich vertrauliche Projekte öffentlich erreichbar?
- IP-basierte Zugriffsbeschränkung für Repositories vertraulicher Projekte
Nextcloud härten (Monat 6-7):
- Zugriffslogs aktivieren und regelmäßig auswerten
- Datenklassifizierung implementieren: Jeder geteilte Ordner erhält eine Schutzklasse
- Automatische Erkennung und Alarmierung bei ungewöhnlichem Download-Verhalten (große Datenmengen, viele Dateien in kurzer Zeit)
- Externe Freigaben: Zeitlich begrenzt, passwortgeschützt, mit Audit-Log
Cloud-Nutzung absichern (Monat 7-8):
- AWS-Nutzung: Verschlüsselung aller Daten at rest und in transit. IAM-Policies überprüfen. Keine vertraulichen Daten ohne explizite Freigabe durch den ISB
- Microsoft 365: Conditional Access Policies, DLP-Regeln für vertrauliche Forschungsdaten
MFA institutweit (Monat 8):
MFA für alle Zugänge: VPN, Cloud-Dienste, GitLab, Nextcloud, HPC-Cluster, Administrator-Accounts. Für das Campusnetz wird 802.1X mit Zertifikaten eingeführt.
Phase 4: Organisatorische Maßnahmen (Monat 8-10)
Schulungsprogramm:
- Alle Mitarbeiter: 45-Minuten-Modul zu Cyberhygiene und Forschungsdatenschutz. Inhalt: Phishing erkennen, Umgang mit vertraulichen Daten, sichere Dienstreisen, Exportkontrolle
- Wissenschaftler: Vertiefung zu sicherer Datenspeicherung, Datenklassifizierung, Umgang mit Gastforschern und internationalen Kooperationen
- Projektleiter: Verantwortung für die Einstufung ihrer Projekte in Schutzklassen, Einhaltung der projektspezifischen Sicherheitsanforderungen
- IT-Team: Incident Response, APT-Erkennung, Forensik-Grundlagen
- Institutsleitung: NIS2-Pflichten, persönliche Haftung, Exportkontrolle, Geheimschutz
Onboarding-Prozess für Gastforscher:
- Sicherheitseinweisung vor Zugangsgewährung (30 Minuten, mit Unterschrift)
- Zugang nur zum Campusnetz und zum spezifischen Projektbereich
- Keine Administratorrechte, kein Zugriff auf andere Projekte
- Zeitlich begrenzter Zugang, automatische Deaktivierung bei Abreise
- Bei Gastforschern aus sicherheitsrelevanten Herkunftsländern: Zusätzliche Abstimmung mit dem Geheimschutzbeauftragten
Lieferantenbewertung:
| Lieferant | Besondere Anforderungen |
|---|---|
| DFN (Deutsches Forschungsnetz) | Netzwerksicherheit, DDoS-Schutz, DFN-CERT-Anbindung |
| AWS | Datenlokalisierung (EU-Region), Verschlüsselung, Compliance-Nachweise |
| Microsoft (M365) | Conditional Access, DLP, Datenlokalisierung |
| HPC-Hardware-Lieferant | Supply-Chain-Integrität, Firmware-Sicherheit |
| Laborgeräte-Hersteller | Netzwerksicherheit, Firmware-Updates, Fernwartung |
| Externes Systemhaus | NIS2-Klauseln, Reaktionszeiten |
Business-Continuity-Plan:
| System | RTO | Notfallverfahren |
|---|---|---|
| HPC-Cluster | 24 Stunden | Forschung ohne HPC temporär fortsetzen (Analyse, Dokumentation), AWS als Ausweich (nur für offene/interne Projekte) |
| GitLab | 8 Stunden | Lokale Git-Kopien auf Wissenschaftler-Laptops als Backup |
| Nextcloud | 12 Stunden | Temporär kein externer Datenaustausch, Wiederaufnahme per E-Mail (verschlüsselt) |
| ERP (SAP) | 24 Stunden | Manuelle Bearbeitung dringender Finanztransaktionen |
| Laborgeräte | Geräteabhängig | Messungen lokal speichern, spätere Übertragung |
Tabletop-Übung: Szenario: Ein APT-Angriff wird entdeckt. Ein Gastforscher hat über einen Zeitraum von drei Monaten systematisch Daten aus vertraulichen Industrieprojekten exfiltriert. Die Nextcloud-Zugriffslogs zeigen ungewöhnliche Download-Muster. Ergebnis: Der Zugang des Gastforschers wird sofort gesperrt. Die betroffenen Industriepartner werden innerhalb von 24 Stunden informiert. Das BSI wird informiert. Der Verfassungsschutz wird eingeschaltet. Verbesserungspotenzial: Die automatische Erkennung ungewöhnlicher Download-Muster hätte den Vorfall drei Monate früher aufdecken können. Die entsprechende Anomalieerkennung wird priorisiert implementiert.
Phase 5: Audit und kontinuierliche Verbesserung (Monat 10-12)
Internes Audit:
Feststellungen:
- 5 von 45 Laborgeräten sind mit dem Forschungsnetz Standard verbunden, obwohl sie in Labors stehen, in denen vertrauliche Projekte durchgeführt werden. Korrekturmaßnahme: Laborgeräte in das vertrauliche Forschungsnetz umziehen.
- Die Schutzklassen-Zuordnung der Forschungsprojekte ist bei 4 von 41 Projekten unklar. Korrekturmaßnahme: Projektleiter auffordern, die Einstufung vorzunehmen und zu dokumentieren.
- Die Sicherheitszone für Verteidigungsprojekte ist physisch isoliert, aber die Dokumentation der Abgrenzung zur übrigen IT ist lückenhaft. Korrekturmaßnahme: Netzwerkdokumentation vervollständigen, Penetrationstest der Isolation durchführen.
BSI-Registrierung: Das Institut registriert sich beim BSI als wesentliche Einrichtung im Sektor Forschung.
Management-Review: Die Institutsleitung genehmigt den Restrisiko-Katalog, das Budget für das Folgejahr (Schwerpunkt: Anomalieerkennung für Datenexfiltration, Erweiterung des Forschungsdaten-Repositoriums) und den Schulungsplan. Die Institutsleitung bestätigt die Schutzklassen-Systematik und verpflichtet alle Projektleiter zur Einstufung ihrer Projekte.
Budget-Übersicht
| Position | Einmalig (Jahr 1) | Jährlich (ab Jahr 2) |
|---|---|---|
| Externe Beratung (ISMS-Aufbau) | 30.000-45.000 € | 10.000-15.000 € |
| Netzwerksegmentierung und Firewall-Erweiterung | 20.000-30.000 € | 3.000-5.000 € |
| Laptop-Verschlüsselung und MDM | 8.000-12.000 € | 3.000-5.000 € |
| Forschungsdaten-Repositorium (Storage) | 15.000-25.000 € | 5.000-8.000 € |
| Anomalieerkennung (Nextcloud, GitLab, Netzwerk) | 12.000-20.000 € | 5.000-8.000 € |
| MFA und Zugriffskontrolle (802.1X) | 8.000-12.000 € | 2.000-3.000 € |
| Schulungen | 6.000-10.000 € | 4.000-6.000 € |
| ISB-Aufstockung (intern, 30 % mehr) | 18.000-22.000 € | 18.000-22.000 € |
| Gesamt | 117.000-176.000 € | 50.000-72.000 € |
Nicht enthalten sind die Kosten für den Geheimschutzbereich, die aus dem Verteidigungsprojektbudget finanziert werden, und die HPC-spezifischen Sicherheitsmaßnahmen, die aus dem HPC-Betriebsbudget kommen. Bei den Tool-Kosten lässt sich sparen: ISMS Lite deckt alle ISMS-Module 500 Euro pro Jahr ab, ohne Seat-Lizenzen oder versteckte Kosten.
Was du jetzt tun solltest
Wenn du eine Forschungseinrichtung oder Hochschule leitest und NIS2 umsetzen musst, sind folgende erste Schritte sinnvoll:
-
Projektinventar und Datenklassifizierung erstellen. Welche Projekte gibt es, welchen Schutzbedarf haben sie und wo werden die Daten gespeichert? Ohne dieses Inventar kannst du weder eine sinnvolle Risikoanalyse durchführen noch gezielte Schutzmaßnahmen umsetzen.
-
Laptop-Verschlüsselung sofort einführen. Das ist die Maßnahme mit dem besten Kosten-Nutzen-Verhältnis. Jeder unverschlüsselte Laptop mit Forschungsdaten ist ein Risiko, das sich durch BitLocker oder FileVault mit minimalem Aufwand eliminieren lässt.
-
Netzwerksegmentierung nach Schutzbedarf. Das offene Campusnetz darf bleiben, aber vertrauliche Forschungsdaten dürfen nicht im gleichen Segment liegen. Eine Segmentierung nach Schutzklassen ermöglicht Offenheit dort, wo sie nötig ist, und Sicherheit dort, wo sie gebraucht wird.
-
Gastforscher-Onboarding formalisieren. Gastforscher sind ein Sicherheitsrisiko, das sich durch einen strukturierten Onboarding-Prozess erheblich reduzieren lässt. Sicherheitseinweisung, begrenzte Zugänge und automatische Deaktivierung bei Abreise sind die Grundelemente.
Forschungseinrichtungen stehen vor der Herausforderung, Sicherheit und Offenheit in Einklang zu bringen. Das ist kein Widerspruch, erfordert aber ein durchdachtes Konzept. Ein ISMS, das die Forschungskultur respektiert und Sicherheitsmaßnahmen als Schutz des geistigen Eigentums positioniert, wird von Wissenschaftlern akzeptiert. Ein ISMS, das Sicherheit als Bürokratie und Einschränkung erscheinen lässt, wird auf Widerstand stoßen. Der Schlüssel liegt in der Kommunikation: Sicherheit schützt die Ergebnisse jahrelanger Forschungsarbeit und ist damit im Interesse jedes einzelnen Wissenschaftlers.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- Risikobewertung im ISMS: Methoden, Kriterien und Praxisbeispiele
- Berechtigungskonzept erstellen: Wer darf was und warum
- Security-Awareness-Programm: Mitarbeiter als Sicherheitsfaktor
- Verschlüsselung im Unternehmen: Was, wann und wie verschlüsseln