Interview „Aus unserer Universität keine Festung machen“

2. Februar 2026

Prof. Heuveline, was wäre passiert, wenn Sie und Ihr Team den Angriff nicht so schnell bemerkt hätten?

Heuveline: Dann wäre die Universität lahmgelegt geworden – und zwar komplett. Vermutlich würde dieser Zustand jetzt noch anhalten. Andere Universitäten waren nach Cyberattacken zum Teil über Monate nicht handlungsfähig. Wir haben zum Glück sofort etliche Maßnahmen ergriffen, um die Hacker aus unseren Systemen zu verdrängen. Als Reaktion auf die Abwehrmaßnahmen verzeichneten wir daraufhin weitere und teilweise intensivere Angriffsversuche der Hacker über verschiedene Kanäle. Das war hochprofessionell und hochgefährlich. Dahinter steckten keine Anfänger. Wir haben in der Vergangenheit schon etliche Angriffe abgewehrt – aber nie in dieser Qualität.

Wie konnten sich die Hacker Zugang zum Uni-Netz verschaffen?

Heuveline: Zu dem konkreten Angriff kann ich nichts sagen, da die Ermittlungen noch andauern. Aber Cyberattacken sind immer mehrschichtig. Es ist nicht die eine E-Mail, die jemand unvorsichtigerweise anklickt. Das ist viel raffinierter. Hacker fangen klein an. Sie verschaffen sich irgendwo an einer Ecke Zugang zum Netzwerk. Von dort schauen sie sich um, nutzen jede Schwäche aus. Das muss man sich vorstellen wie einen Guerillakrieg. Solche Angriffe werden zum Teil über Monate vorbereitet.

Wieso ist die Universität Heidelberg dennoch so glimpflich davongekommen?

Heuveline: Wir hatten sicher Glück, aber ich habe auch ein sehr gutes Team. Wir haben die ersten Anzeichen richtig bewertet und die Gefahr erkannt.

Was war das Ziel der Hacker?

Heuveline: Solche Angriffe zielen meist darauf, Daten zu verschlüsseln, die Einrichtung lahmzulegen und zu erpressen.

Sind Daten entwendet worden?

Heuveline: Ja. E-Mail-Adressen, Namen und verschlüsselte Passwortdaten, sogenannte Hashs. Wir gehen davon aus, dass keine Forschungsdaten oder weitere Daten abgeflossen sind.

Müssen die Betroffenen reagieren?

Heuveline: Nein, denn wir haben ja alle Mitglieder der Universität direkt aufgefordert, ihre Passwörter zu ändern, da die Hacker sicher in der Lage gewesen wären, die entwendeten Passwortdaten nach einer gewissen Zeit zu entschlüsseln. Deshalb war das absolut erforderlich. Der Aufwand war allerdings immens. Wir sprechen von 60.000 Accounts. Rund 20 Prozent der Betroffenen mussten wir als URZ aktiv bei der Passwortänderung unterstützen. Eine weitere Maßnahme war, dass Dienste und Webseiten der Universität nur noch über VPN oder aus dem Universitätsnetz erreichbar waren – und zum Teil noch sind. Um VPN zu verwenden, braucht man eine Uni-ID und die Zwei-Faktor-Authentifizierung. Das ist kein absoluter Schutz, aber für Hacker doch eine deutliche Hürde.

Warum dauert es so lange, bis alle Seiten wieder uneingeschränkt erreichbar sind?

Heuveline: Damit ein Dienst oder eine Seite wieder online gehen kann, müssen zwei Bedingungen erfüllt sein: Erstens braucht es klare Zuständigkeiten. Wir müssen wissen, zu welcher Einrichtung ein Server gehört und wer verantwortlich ist. Das zweite ist die Sicherheit. Wir akzeptieren zukünftig keine Server mehr, die in der Schwachstellenprüfung als hochkritisch bewertet werden. Mittlerweile haben wir über 170 Dienste wieder freigegeben. 30 bis 40 Fälle müssen wir noch abschließen. Der Prozess ist sehr aufwendig, aber er ist auch ein Beitrag zu unserer Sicherheit in der Zukunft. Eine solche Überprüfung werden wir jetzt regelmäßig durchführen.

Wann können Uni-Mitglieder wieder ohne VPN auf ihre E-Mails zugreifen?

Heuveline: Mir ist bewusst, dass der aktuelle E-Mail-Zugang für viele ärgerlich und lästig ist, gerade auf mobilen Geräten. Das ist natürlich kein Dauerzustand, aber der Schritt war notwendig. Da bitte ich um Verständnis. Ich wünsche mir – auch als Nutzer – natürlich, dass wir zur Normalität zurückkehren können. Wenn das zeitnah nicht möglich sein sollte, werden wir zumindest Lösungen umsetzen, die nutzerfreundlicher sind.

Institutionen der Wissenschaft und Forschung gelten als besonders beliebte Angriffsziele bei Cyberkriminellen. Warum?

Heuveline: Zum einen haben wir ein hohes Gut – unsere Daten. Eine Universität lebt Innovation und ist allein dadurch interessant. Das andere ist unsere Struktur. Universitäten sind offene Einrichtungen – und das wollen wir auch bleiben. Wir dürfen nicht den Fehler begehen, aus unserer Universität eine Festung zu machen. Das würde massiv zu Lasten der Forschung und der Kooperation gehen. Wir nehmen also Risiken in Kauf, die andere nicht haben – und das macht uns für Hackerangriffe anfälliger.

Sie sagen, wir müssen aus dem Angriff lernen. Was bedeutet das konkret?

Heuveline: Eine Botschaft ist mir sehr wichtig: Wir müssen akzeptieren, dass wir immer wieder angegriffen werden – und die Qualität der Angriffe steigt. Wir werden sie nicht immer parieren können. Deshalb müssen wir resilienter werden. Wir werden nicht daran gemessen, ob wir alles abwehren. Wir werden daran gemessen, wie wir damit umgehen. Irgendwann werden wir auch mal fallen. Wir müssen lernen, dann schnell wieder aufzustehen. Wir dürfen nicht erst nach Wochen wieder in der Lage sein, normal zu agieren. Das ist für mich der Auftrag.

Wie kommt man dahin?

Heuveline: Wir müssen die gesamte Universität besser vorbereiten. Es geht um ein Mindset. Sicherheitsthemen sind keine IT-Themen, es sind Themen der Organisation, der Prozesse, der Menschen. Es geht um das Verständnis, welche Maßnahmen wann nötig sind. Und es geht um Zusammenhalt und Vertrauen innerhalb unserer Einrichtung. Zudem benötigen wir regelmäßige Übungen für Cyberangriffe, so wie in unserem Alltag etwa Feuerwehrübungen selbstverständlich sind.

Bedeutet Resilienz auch, dass Forscherinnen und Forscher ihre Daten besser doppelt und dreifach abspeichern sollten, um ein Backup zu haben?

Heuveline: Nein, das Thema Sicherheit sollte nicht unsere eigentlichen Aufgaben, Forschung und Lehre, dominieren. Wissenschaftlerinnen und Wissenschaftler wollen forschen. Und wenn sie Daten speichern, ist es unsere Aufgabe als Rechenzentrum, dafür Sorge zu tragen, dass die Daten sicher sind. Dafür haben wir eine hervorragende Infrastruktur in Heidelberg. Was in heiBOX oder in unseren Datenzentren gespeichert wird, wird an mehreren Stellen unabhängig voneinander gesichert.

Was können einzelne Mitglieder der Universität sonst tun, um die Sicherheit zu verbessern?

Heuveline: Es klingt banal, aber für mich ist das Allerwichtigste, dass jede Person ihr Passwort kennt und dieses Passwort eine ausreichende Länge und Komplexität hat. Und die Verhältnisse innerhalb der Institute müssen geklärt werden. Es muss im Notfall absolut klar sein, wer für welchen Account verantwortlich ist. Außerdem sollte jede und jeder die Zwei-Faktor-Authentifizierung aktivieren und bei Phishing-E-Mails vorsichtig sein.

Neben Kooperation und Verständnis: Was brauchen Sie als URZ, um die Sicherheit und die Resilienz der IT-Infrastruktur zu verbessern?

Heuveline: Wenn wir über einen guten Schutz sprechen, sprechen wir natürlich auch über Ressourcen. Wollen wir regelmäßige Übungen durchführen, was ich für essenziell halte, brauchen wir dafür Personal. Aber das gilt nicht nur für die Universität: Wir investieren in Europa insgesamt zu wenig in Digitalisierung und digitale Sicherheit. Das müssen wir ändern. Außerdem sollten wir die Bürokratie auch einmal beiseiteschieben und pragmatisch sein. Es geht nicht darum, unsere Standards über Bord zu werfen. Aber wenn wir im internationalen Wettbewerb bestehen wollen, müssen wir agiler werden – und auch häufiger eine Abkürzung nehmen, um voranzukommen.