Wie steht es um die IT-Sicherheit an den nordrhein-westfälischen Hochschulen? Nach den Angriffen auf u.a. die Uni Gießen haben wir der Landesregierung diese Frage gestellt. Die Antwort auf meine Anfrage liegt vor.

Am 5. Februar berichtete die Landesregierung im Wissenschaftsausschuss, nun liegt auch die Antwort auf meine Anfrage zur IT-Sicherheit an Hochschulen vor. Der Cyber-Angriff auf die Universität Gießen und andere Hochschulen war Grund genug die Landesregierung zu fragen, was sie unternimmt. Was sich auftat, waren zahlreiche Leerstellen. Auch hier gilt das Credo von Schwarz-Gelb: das bisschen, das sie finanziell geben, muss ausreichen. Die Hochschulen sollen sich selbst darum kümmern, die Landesregierung wird sich nicht aktiv für Verbesserungen einsetzen.

Wie die Ministerin mündlich erläuterte, haben bisher nur 27 der 37 öffentlichen Hochschulen in NRW eine*n Vollzeit-IT-Sicherheitsbeauftragte*n. An den übrigen zehn Hochschulen erledigen das Beschäftigte aus anderen Bereichen in Teilzeit mit. Kein Versprechen der Landesregierung, die Situation zu verbessern.

Wie erwartet, berichtete die Landesregierung im Ausschuss, dass es bisher keinen vergleichbaren Fall wie in Gießen gab. Mehr Informationen gab es nicht. Damit ließ sie aber kleinere Fälle außer Acht, die sich nicht auf eine gesamte Hochschule auswirkten und daher keine mediale Aufmerksamkeit erhielten. Schriftlich bekam ich darauf nicht einmal eine entsprechende Teilantwort. Die Landesregierung verweist darauf, dass die Hochschulen nicht dem E-Government-Gesetz unterliegen und das Land deshalb nicht koordiniere und keine Übersicht habe. Dabei fordern die Hochschulen seit mehreren Jahren, dass das Gesetz auch für sie gelten soll.

Das Ministerium versprach, es gäbe in den Antworten auf meine Anfrage Informationen zur Frage der Schulung der Hochschulbeschäftigten, denn das war im Ausschussbericht eine deutliche Leerstelle. Und was lieferte das Ministerium? Der Verfassungsschutz hatte Kontakt mit einem Teil der Hochschulen und hat ihnen Sensibilisierungsvorträge angeboten. Das war es dann auch.

Wenn es Handlungsbedarf gibt, darf sich eine Landesregierung nicht dermaßen aus der Verantwortung ziehen. Wer eine „Digitalisierungsoffensive“ ankündigt, kann die Hochschulen nicht mit einem Taschengeld abspeisen und sich ansonsten auf die Beobachterrolle am Spielfeldrand zurückziehen. Aber was erwarten wir auch von einer Wissenschaftsministerin, die sich nicht für Wissenschaft interessiert?

Der Fall Gießen hat deutlich gemacht, was es bedeutet, wenn eine Cyber-Attacke eine Hochschule trifft, und wie wichtig es daher ist, dass die Hochschulen ordentlich aufgestellt sind. Dabei ist dort noch nicht einmal der schlimmste Grad erreicht worden.