Die Sicherheitsüberprüfung TEUTOBURGIUM
Wie gut ist die ETH Zürich gegen Cyber-Angriffe gewappnet? Die Sicherheitsüberprüfung TEUTOBURGIUM zeigt Stärken, aber auch kritische Lücken auf. Erfahren Sie, welche Erkenntnisse gewonnen wurden und wie sie die Informationssicherheits-Strategie prägen.
Die IT-Landschaft der ETH Zürich ist sehr heterogen und weist eine dezentrale Verteilung der Verantwortung auf. Angesichts zunehmender Cyber-Bedrohungen hatte die Sicherheitsüberprüfung TEUTOBURGIUM das Ziel, die Fähigkeiten aller Akteurinnen und Akteure der ETH im Umgang mit Cyber-Angriffen zu bewerten und Massnahmen zur Verbesserung abzuleiten.
Zweck und Zielsetzung
Die Überprüfung sollte ein ETH-weites Gesamtbild zu technischen, prozessualen und organisatorischen Schwachstellen liefern. Die Ergebnisse dienen als Grundlage für eine Teilstrategie «Umgang mit Cyber-Angriffen» innerhalb der Informationssicherheits-Strategie. Neben der Analyse sollten konkrete Massnahmenvorschläge abgeleitet werden können.
Prüfmodule
Die Teilnahme war freiwillig. Die teilnehmenden organisatorischen Einheiten (sieben Departemente, Teile der zentralen Informatikdienste und eine Abteilung der zentralen Organe) waren eingeladen, aktiv den sie betreffenden Umfang der Prüfmodule mitzugestalten:
- Prüfmodul Vulnerability – Technische Tests (sogenannte Pentests) zur Identifikation von Einfallsvektoren und Schwachstellen in Departementen und zentralen Organen
- Prüfmodul Readiness – Interviews und Krisenstabsübungen zur Einschätzung der organisatorischen und prozessualen Vorbereitung sowie der Reaktionsfähigkeit
- Prüfmodul Self-Assessment – Ergänzende Selbsteinschätzungen für nicht durch die externe Firma Infoguard geprüfte Einheiten zur ETH-weiten Vergleichbarkeit
Ergebnisse
Die Resultate aus TEUTOBURGIUM wurden im Mai 2025 der Risikomanagement Kommission vorgestellt und sind in der Informationssicherheits-Strategie eingeflossen. Die Resultate zeigen auf,
- wie gut der technische Schutz vor Cyber-Angriffen an der ETH als Ganzes ist
- wie gut die ETH vorbereitet ist
- ob die ETH in der Lage ist, angemessen auf erfolgreiche Angriffe zu reagieren, die erheblichen Schaden verursachen könnten
Herausfordernde Rahmenbedingungen
Forschungsuniversitäten inklusive der ETH Zürich sind ein attraktives und lohnendes Ziel für Angreifende. Besonders hervorzuheben sind (Wirtschafts)-Spionage und Proliferation sowie Erpressung und Sabotage[1].
Hierbei zeigt sich, dass die ETH Zürich mit ihrer sehr heterogenen IT-Landschaft in der Tendenz schwieriger zu verteidigen ist als Institutionen mit strafferer Organisation. Zudem wird sich weisen, ob
- der Cyber-Fachkräftemangel die Nachrekrutierung für in Pension gehende Mitarbeitende erschweren wird und ob
- die Nutzung künstlicher Intelligenz zur Perfektionierung von Cyber-Angriffen die ETH zwingen wird, ihr Sicherheitsdispositiv deutlicher und systematischer als bisher weiterzuentwickeln
Wichtigste Erkenntnisse aus TEUTOBURGIUM
- Die ETH verfügt über ausgewiesene Stärken; diese werden allerdings nicht ausreichen, um künftigen Cyber-Bedrohungen in angemessener Weise entgegenzutreten
- Fehlende Rahmenbedingungen erschweren ein durchgängiges und systematisches Management der Informations- und IT-Sicherheit
Fazit und Ausblick
Die fehlenden Rahmenbedingungen (Sicherheitslücken) werden untersucht und eingeordnet. Schliesslich soll aufgrund des beachtlichen Erkenntnisgewinns und dem ausserordentlichen Interesse TEUTOBURGIUM, wo sinnvoll, auf die restlichen organisatorischen Einheiten ausgeweitet werden.
Kontakt
Sektion Cyber and Information Security (CISEC) der Informatikdienste und der CISO der ETH Zürich
[1] Einschätzung basiert auf dem Sensibilisierungsprogramm Prophylax des Nachrichtendienstes des Bundes sowie anderen Quellen à Akademische Welt im Visier, Spionage und Proliferation im akademischen Bereich, Dezember 2022, Nachrichtendienst des Bundes NDB, abgefragt am 5. Januar 2024
