Jan Armin Reepmeyer weiß, dass er in puncto IT-Sicherheit auf verlorenem Posten steht. Der IT-Leiter des Bereichs Wirtschaftswissenschaften der Uni Münster hat in der Kategorie "Non Profit Organisations" an der Studie teilgenommen. "Eine regelmäßige Anwenderschulung können wir von der personellen Ausstattung her gar nicht leisten", sagt der akademische Direktor. Anders als in Unternehmen hat er weder die administrative Macht noch die personellen und technischen Mittel, um einen hohen Sicherheitsstandard durchzusetzen.

"Natürlich sprechen ich mit meinen Kollegen der anderen Fakultäten Sicherheitsfragen ab - aber vieles, was aus Sicherheitsgründen notwendig wäre, lässt sich auch auf Grund der komplizierten Entscheidungsmechanismen in den Gremien überhaupt nicht verwirklichen", räumt Reepmeyer ein. Ein Alptraum für jeden CISO: Alle Nutzer, ob Assistent, Dozent oder Professor, besitzen Administrator-Rechte auf den PCs. "Ansonsten könnten sie selbst keine Programme installieren, und wir haben einfach keine Zeit, das für jeden Nutzer zu machen."

Auch das Update der installierten Virenscanner bereitet ihm Sorgen: "Ich lass' mir doch nicht von Bill Gates vorschreiben, wann ich meine Daten update", hat er als Argument mehr als einmal gehört. Selbst die Einführung einer Netzwerk-Firewall ist nur begrenzt möglich: "Die Freiheit der Forschung und Lehre erlaubt jedem Professor, alle Programme zu nutzen, die er für seine Arbeit braucht. Ich kann deshalb nicht einfach irgendwelche Ports sperren." Zurzeit denkt er darüber nach, auf den rund 1400 Rechnern in seinem Verantwortungsbereich Personal-Firewalls zu installieren. "Aber ich fürchte, dass die Nutzer damit nicht klarkommen und wir dann mit Support-Anfragen überhäuft werden", sagt Reepmeyer.

Forscher-Freiheit auf Kosten der Sicherheit

Den sensiblen Bereich des Prüfungsamtes mit vertraulichen Personal- und Prüfungsdaten hat Reepmeyer allerdings in ein besonders geschütztes Netz mit Firewall und erheblich besseren Sicherheitsstandard ausgelagert. Ebenso die "zentralen Dienste" wie Statistik-Programme, Zeitreihen- und Forschungsdatenbanken. Das gelte, betont Reepmeyer, auch für andere sicherheitssensible Bereiche der Universität. "Natürlich sind in der Verwaltung oder in der UniKlinik, wo die mit vertraulichen Personendaten umgegangen wird, auch adäquate Sicherheitsmaßnahmen installiert", betont Reepmeyer.

Insofern basieren auch seine Schutzmaßnahmen auf einer Risiko-Abschätzung. Zwar bereitet ihm das für eine Universität typische Laissez-faire gelegentlich Kopfzerbrechen. "Aber die Freiheit muss mit einem gewissen Sicherheitsrisiko erkauft werden. Die Uni ist eben kein Unternehmen", sagt Reepmeyer, "bei irgendwelchen Vorfällen wie Virenbefall oder Abstürzen können wir den Rechner einfach vom Netz nehmen, ohne dass das gravierende Auswirkungen hätte."