Swiss IT Magazine»: Sie waren vor Ihrem Engagement an der ETH für die Credit Suisse tätig. Wo sehen Sie die wesentlichen Unterschiede bezüglich der IT-Leitung einer Hochschule und der eines Unternehmens?
Rui Brandao: Diese Frage wird mir interessanterweise immer wieder gestellt. Letztlich muss man sehen, dass sowohl bei der ETH als auch in einem Unternehmen wie der Credit Suisse Arbeitsplätze und Infrastruktur gebraucht werden, damit Menschen arbeiten können. Insofern sind viele Dinge ähnlich. Deutliche Unterschiede finden sich vor allem bezüglich Heterogenität. In der Privatwirtschaft und insbesondere in einer Bank ist die IT darauf bedacht, die Infrastruktur möglichst standardisiert und damit kontrolliert zu halten. Dass ein Mitarbeiter einen USB-Stick an seinem Rechner einstecken kann, ist nicht im Sinne der Banken-IT und damit auch nicht möglich. An der ETH ist das völlig anders. Natürlich stellen wir von der zentralen IT auch gemanagte, das heisst zentral verwaltete Maschinen bereit – alles in allem rund 6000 davon. Die ETH allerdings zählt rund 11’000 Mitarbeitende und über 22’000 Studierende, was bedeutet, dass es dem Gros unserer Anwender freisteht, welche Maschinen sie nutzen wollen und was darauf läuft. Die Freiheit ist nicht zuletzt der Forschung und deren Arbeitsweise geschuldet, wo Einschränkungen als hinderlich angesehen werden.

Gleichzeitig haben Sie dafür zu sorgen, dass die Infrastruktur bei aller Heterogenität sicher ist. Wie viele Probleme verursacht die Vielfalt an Geräten, die sich in Ihrem Netz tummeln?
Ich möchte nicht von Problemen sprechen. Für die Forschung ist es wichtig, dass sie möglichst ohne Einschränkungen arbeiten kann und Freiheiten hat. Forschung steht letztlich dafür, etwas auszuprobieren und scheitern zu können, um aus dieser Erfahrung zu lernen und einen Schritt vorwärts zu machen. Aber natürlich bringt die Heterogenität Herausforderungen mit sich, insbesondere was das Thema Sicherheit angeht. Viele Unternehmen sind attraktiver für potenzielle Angreifer als eine Hochschule oder Universität, und gerade nach meinem Wechsel von der Bank an die ETH habe ich gemerkt, dass Sicherheit zwar auch an der ETH weit oben auf der Agenda steht, die Bedrohung allerdings nicht ganz so akut ist. Allerdings hat sich das in den letzten rund drei Jahren geändert, wir haben in jüngerer Zeit deutlich mehr Angriffe respektive Angriffsversuche verzeichnet. Entsprechend stärker ist das Thema Security auch bei uns in den Fokus gerückt.

Gab es bereits erfolgreiche Angriffe auf ETH-Infrastruktur im grossen Stil?
Bis heute zum Glück noch nicht, was auch damit zusammenhängen könnte, dass wir eine technische Hochschule sind, wo es eine selbstverständliche Affinität für das Thema Security gibt. Zudem beschäftigen wir eine sehr versierte IT-Security-Gruppe. Die ETH ist trotz dem schwierigen Umfeld – eben aufgrund der Heterogenität, über die wir gesprochen haben – seit jeher gut gerüstet, was das Thema Security angeht. Aber die Herausforderung ist gross und bedingt, dass man sehr vorsichtig vorgeht – beispielsweise dabei, wie man sein Netzwerk konzipiert, wie man es segmentiert und kontrolliert. Gleichzeitig sind wir auch auf die Eigenverantwortung unserer Anwender angewiesen.

Vermuten Sie einen bestimmten Grund, weshalb die Angriffe in den letzten drei Jahren zugenommen haben?
Eine Zunahme von immer versierteren Angriffen ist allgemein zu beobachten und kam daher nicht überraschend, weshalb wir laufend an der Verbesserung unserer Security-­Massnahmen gearbeitet haben und dies weiter tun. Gleichzeitig vermute ich, dass Angreifer gemerkt haben, dass Hochschulen und Universitäten aus den genannten Gründen angreifbare Ziele darstellen. Gerade mit Ransomware gibt es auch an Universitäten etwas zu holen. Wenn jahrelange Forschungsarbeit plötzlich als «Geisel» genommen wird, könnten einige Forschende bereit sein, Lösegeld zu zahlen.

Hat es solche Fälle bei Ihnen schon gegeben?
Es hat schon vereinzelt erfolgreiche Ransom­ware-Attacken an der ETH gegeben, bei denen Daten verschlüsselt wurden. Allerdings hatten die Betroffenen ihre Daten meistens gesichert. Es entstand also kein grösserer Schaden. Gleichzeitig weiss ich von Forschenden, die ihre Datensicherung vernachlässigen. In diesen Fällen ist es eine Frage der Zeit, bis es zu einem Schaden kommt.