Schneider: Herr Brandel, der ZKI-Arbeitskreis Informationssicherheit arbeitet eng mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik zusammen. Welche Ergebnisse sind aus dieser Zusammenarbeit entstanden und was ist in Zukunft zu erwarten?
Brandel: 2019 haben wir begonnen, für die Hochschulen ein Musterkonzept für Informationssicherheit nach BSI-Grundschutz zu entwerfen. 2022 haben wir das Musterkonzept erweitert und aktualisiert und publiziert(*). Dieses Muster eines Informationssicherheits-Managementsystems (ISMS) beschreibt, wie man den Normalbetrieb einer Hochschule absichern, Sicherheitsvorfälle minimieren oder gar verhindern kann. Wenn aber die Dinge dennoch aus dem Ruder laufen, braucht man einen Plan B, ein Business Continuity Konzept.
BCM beschäftigt sich mit der Frage, wie eine Hochschule nach einer eventuell eingetretenen Krise möglichst schnell wieder zurück in den Normalbetrieb geführt werden kann. Besonders wichtig ist hier, sich bereits vor Eintreten des Ernstfalls an den geschäftlich notwendigen Prioritäten zu orientieren und die Geschäftsfortführung notfalls auch ohne IT (wie bspw. die Weiterführung von Gehaltszahlungen) und den möglichst schnellen Wiederanlauf des Normalbetriebs zu planen.
Aktuell entwerfen wir ein Business Continuity Konzept (BCM-Profil) für die Hochschulen, das auf der ZKI-Frühjahrstagung als Community Draft vorgestellt wurde und bis Ende 2025 in seiner finalen Version veröffentlicht wird.
Danach planen wir, uns mit dem „Grundschutz++“ (https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Stand-der-Technik-Bibliothek_250930.html) ab 2026 auseinanderzusetzen.
Schneider: Herr Lingenhöl, Sie sind befassen sich ja speziell mit der Sicherheit von HPC-Systemen. Welche Aktivitäten und Maßnahmen gibt es im NHR-Verbund bzgl. Sicherheit der HPC-Systeme?
Lingenhöl: 2020 gab es im HPC-Umfeld einen nicht unerheblichen Sicherheitsvorfall. Dieser hat dazu geführt, dass sich viele Personen im HPC-Bereich intensiv mit der Sicherheit von HPC-Systemen beschäftigt haben. Daraus erwuchsen in der Folge mehrere Formate für den niederschwelligen Austausch zwischen den Betreiberzentren, und es hat auf diesem Weg insbesondere die NHR-Sicherheitsgruppe zusammengefunden. So haben wir z.B. Maßnahmenkataloge und Best-Practice-Empfehlungen für die IT-Sicherheit zusammengetragen. Insgesamt hat sich aber auch gezeigt, dass die Ressourcen in Form von Personal hierfür im NHR-Umfeld noch recht gering sind und unsere Aktivitäten insofern nur langsam vorangebracht werden können bzw. noch nicht abgeschlossen werden konnten. Darüber hinaus besteht die Idee, den Erfahrungs- und Best-Practice-Austausch auf die Tier-1 und Tier-3 Zentren (der HPC-Leistungspyramide, Anm. der Red.) zu erweitern.
Schneider: Herr Metzger, als CISO und ISMS-Verantwortlicher des Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften (LRZ) verfolgen Sie ja einen gesamtheitlichen Informationssicherheitsansatz über HPC hinaus. Spannend an Ihrem Vortrag fand ich die Zahlen zum Umfang des ISMS, die 93 Maßnahmen zur Behandlung von Informationssicherheits-Risiken, und identifizierte Risiken deutlich über hundert. Diese Zahlen betreffen das ganze LRZ mit allen Diensten. Wie hoch ist der Anteil der auch oder ausschließlich HPC-Systeme betrifft?
Metzger: Wir haben zunächst damit begonnen, alle Service-Assets des LRZ zusammenzutragen, um anschließend pro Asset mögliche Gefährdungen zu identifizieren. In der Analyse dessen haben wir uns aber bewusst dagegen entschieden, alles abzuarbeiten und mit Maßnahmen zu unterlegen(**). So haben wir derzeit rund 200 potentielle Risiken identifiziert und rund 100 Maßnahmen hinterlegt. Davon beziehen sich ca. 10% auf HPC-Systeme.
Schneider: Herr Wiebelt, wie in Ihrem Vortrag erwähnt, betreibt die Uni Freiburg HPC-Systeme für die lokale und regionale Versorgung und ist damit ähnlich aufgestellt wie die meisten der hier im Arbeitskreis vertretenen Zentren. Welchen Rat können Sie aus der Freiburger Erfahrung für kleinere HPC-Sites geben, die sich intensiver um die Informationssicherheit im HPC zu kümmern wollen? Womit sollte man als kleiner HPC-Betreiber starten? Wie haben Sie in Freiburg die Maßnahmen für NEMO2 ausgewählt?
Wiebelt: Wir haben bereits 2020 mit einer Tier-3 Task-Force für IT-Sicherheit begonnen. In der Folge ergaben sich im Laufe der Zeit etliche pragmatische Erfahrungen und Ergänzungen des Maßnahmenkatalogs direkt aus dem Betrieb. So kam beispielweise z.B. im Zusammenhang mit der Entsorgung alter Hardware die Frage auf, welche Art von Daten sich eigentlich auf den zu entsorgenden Speichersystemen befinden, und wie man konkret damit umgehen muss.
Schneider: Herr Krey, Sie haben stellvertretend für Ihren Kollegen Nolte die regulatorischen Anforderungen für die Verarbeitung von Gesundheitsdaten und daraus abgeleitete Maßnahmen für die Verarbeitung solcher Daten auf den HPC-Systemen der Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen (GWDG) vorgestellt. Sie hatten auch erwähnt, dass Sie in der GWDG gerade Auditoren für die ISO-Zertifizierung im Haus haben. Durch wen bzw. welche Institution werden eigentlich solche Reviews oder Audits durchgeführt, und wie läuft so etwas ab?
Krey: Tatsächlich wird unsere ISO-Zertifizierung gerade erneuert, ich bin als HPC-Administrator aber weniger in diese Prozesse eingebunden. Bezogen auf den Schutz der Gesundheitsdaten als kritische und teilweise personenbezogene Daten gibt es eine sehr enge Zusammenarbeit mit dem Datenschutzbeauftragten des Universitätsklinikums Göttingen.
Schneider: Herr Metzger, auch das LRZ ist zertifiziert nach ISO 27001. Können Sie uns noch ein paar Details zu den Prozessen in diesem Zusammenhang erläutern?
Metzger: Da sich Prozesse und Dokumentationen innerhalb eines Unternehmens ändern, schreibt ISO 27001 eine regelmäßige Überprüfung bzw. Neuprüfung vor. Insofern ist die Gültigkeit eines Zertifikats zeitlich begrenzt, und man ist quasi automatisch gefordert, sich einer turnusmäßigen Überprüfung zu stellen. Als öffentliche Einrichtung müssen wir die Dienstleistung der Zertifizierung ausschreiben. Die Ausschreibung ist insofern relativ einfach, weil die Anzahl der Anbieter, die solche Zertifizierungen durchführen, begrenzt ist (bspw. TÜV Nord etc.). Zu beachten sind dann allerdings Zeitskalen für die Ausschreibung und Durchführung, um das einmal erlangte Zertifikat rechtzeitig überprüfen und erneuern zu lassen. Die Zertifizierung selbst erfolgt i.a. zweistufig und besteht aus Dokumentationsprüfungen sowie Gesprächen mit der Führungsebene bzw. Leitung des zu prüfenden Unternehmens und für einen Dienst oder für ein bestimmtes Themenfeld verantwortlicher Personen. Typischerweise kommen dafür 2-4 Prüfer für einige Arbeitstage ins Haus.
Schneider: In den Diskussionen im Anschluss der heutigen Vorträge kam zum Ausdruck, dass es eine mögliche Diskrepanz zwischen einer zertifizierten bzw. gesetzlich geforderten, dokumentierten Sicherheit und einer tatsächlichen, technologischen Sicherheit geben könnte. Möchte noch einmal jemand zu dieser Problematik Stellung nehmen?
Wiebelt: Man sollte eine Zertifizierung von vornherein als ergebnisoffen betrachten. Eine solche prüft stichprobenartig die Dokumentation für Informationssicherheit und könnte auch negativ, also ohne Zertifikat, ausgehen, wenn Sicherheitsaspekte hinterfragt werden, die von der Einrichtung noch nicht in dem geforderten Umfang betrachtet oder abgearbeitet wurden. Trotzdem würde der Vorgang als solcher insgesamt sicherlich deutlich positiv zur Informationssicherheit eines Zentrums beitragen, weil sich die Einrichtung gezielt mit vielen Prozessen und Sicherheitsrisiken auseinandergesetzt und diese verbessert bzw. minimiert hat.
Krey: Das kann ich als Erfahrung bestätigen. Bei uns haben die Zertifikat-Audits sehr für Verbesserungen der Prozesse gesorgt bzw. haben wir sehr viele Prozesse nachschärfen können. Wichtig bei alledem ist aber, gemeinsam mit den Administratoren auch die technologische Umsetzung zu diskutieren. Verfahrensänderungen im Zusammenhang mit Zertifizierungen sind nicht hilfreich, wenn die technischen Umsetzungen so aufwändig werden, dass sie die Arbeit der eigenen Mitarbeitenden extrem einschränken und/oder von den eigenen Mitarbeitenden nicht mehr akzeptiert werden.
Frage aus dem Auditorium: Herr Metzger hat von 200 identifizierten Risikofaktoren gesprochen. Sind das überwiegend Dinge, die bereits aufgetreten sind, oder eher solche, die auftreten könnten?
Metzger: Das hält sich zu 50/50 etwa die Waage. Tatsächlich gibt es auch immer wieder neue Dinge, die man bisher nicht im Blick gehabt hat. So stellte sich bei uns eines Tages die Frage, wie man eigentlich mit Flügen von Drohnen über das Gebäude umgehen sollte. Selbst solch unwahrscheinliche Dinge passieren irgendwann tatsächlich, da ist es gut, sich im Vorfeld schon mal Gedanken gemacht zu haben, auch wenn man das Risiko bislang akzeptierte.
Brandel: Ganz typisch sind Vorfälle oder Dinge, mit denen man plötzlich konfrontiert wird, weil sie vorher in den eigenen Prozessen nicht vorkamen oder bei der Prozessbetrachtungen nicht mit bedacht wurden.
Frage aus dem Auditorium: Die Anzahl der Assets und Risiken nimmt permanent zu. Und mögliche Gegenmaßnahmen und Dokumentationen werden immer komplexer und umfangreicher. Hat diese Erkenntnis auch mal zu Vereinfachungen geführt?
Wiebelt: Bei allem Streben nach Informationssicherheit sollte man stets darauf achten, dass man arbeitsfähig bleibt und schauen, dass man Prozesse und Dokumentationen gegebenenfalls auch wieder verschlankt, wenn sie nicht praktikabel sind. So haben wir kürzlich die Diskussion geführt, ob man Festplatten immer noch physikalisch zerstören muss, oder ob nicht auch eine einfache Verschrottung ausreicht, weil inzwischen nahezu überall eine Festplattenverschlüsselung eingesetzt wird.
Brandel: Eine andere Ebene ist, sich bereits bei der Auswahl der IS-Verfahren BSI-Grundschutz versus ISO 27000 Gedanken über den eigenen Bedarf und die Aufwände zu machen. So sind die Dokumentationsanforderungen für BSI-Grundschutz sehr detailliert, es wird aber keine durchgängige Risikoanalyse gefordert. Demgegenüber benötigt ISO-Risikoanalysen, ist aber in Dokumentation und Umsetzung vielfach pragmatischer.
Frage aus dem Auditorium: Schön wäre, die HPC-Betreiber der Tier-3-Systeme stärker in die Diskussionen und Analysen zur Informationssicherheit einzubinden. Wir kommt man da zusammen, wie können sie profitieren?
Wiebelt: Auf Landesebene Baden-Württemberg haben wir bereits seit vielen Jahren mehrere Tier-3 „Community-Systeme“ (Anm. Red.: HPC-Systeme, deren Technik und Support je Installation auf die Nutzerschaft spezifischer Wissenschaftsgebiete ausgerichtet sind), die bereits für eine landesweite, einrichtungsübergreifende Nutzerschaft zur Verfügung stehen. Es lag daher nahe, dass sich auch die Betreiber dieser Systeme im Bereich der Administration und IT-Sicherheit regelmäßig austauschen. Nächste Gelegenheit dazu ist das bwHPC-Symposium am 23.September 2025 vor dem bwHPC-C5-Treffen.
Lingenhöl: Im Rahmen von NHR beobachten wir, dass sich immer mehr Landesinitiativen formieren, an denen dann auch die Tier-3-Zentren teilnehmen.
Frage aus dem Auditorium: In den Diskussionen um Exportkontrolle und Wissenschaft (https://www.bafa.de/DE/Aussenwirtschaft/Ausfuhrkontrolle/Academia/academia_node.html), d.h. den Einsatz sogenannter Dual-Use-Güter in F&E, wurden erforderliche Regularien für Proliferationsabwehr als Thema identifiziert. Demnach gibt es offenbar Personen aus bestimmten Ländern, denen der Zugang zu HPC-Systemen verwehrt werden muss. D.h., wir benötigen eigentlich Personalressourcen, um solche Personen und deren Arbeiten zu überprüfen. Sehen Sie das auch so?
Lingenhöl: Ja, auch dieses sind Fragen zur HPC-Nutzung und Zertifizierung im Kontext der Informationssicherheit, aber das läuft bei den Betreibern nebenbei.
Wiebelt: Das sind aber eigentlich Fragestellungen der allgemeinen Informationssicherheit, die nicht allein im Rahmen der HPC-Nutzung zu lösen sind. Originär benötigt das eher die Unterstützung durch die Hochschul-Verwaltungen im Zusammenhang mit der Zulassung von Studierenden und Mitarbeitenden.
Ergänzung aus dem Auditorium, Ulf Markwardt (Uni Dresden): Wir hatten hierzu in der letzten Woche ein sehr konstruktives Gespräch mit der/dem Uni-Beauftragten für Exportkontrolle, in dem wir gemeinsam die Stellschraube identifiziert haben, an welcher Stelle wir das in das Hochleistungsrechnen hineinbekommen. Gefragt und verantwortlich wären in solchen Fällen bei uns die Projektleitenden der jeweiligen HPC-Projekte, weil sie das Personal und die Aufgaben ihrer Arbeitsgruppen im Detail kennen.
Schneider: Wir nehmen das Thema auf die Arbeitskreis-Agenda und zum Anlass, eine Expert*in des Bundesarbeitskreis Exportkontrolle Academia (BAKEA) (https://www.bakea.de/) zu uns einzuladen.
Ergänzung aus dem Auditorium, Robert Barthel (KIT): Es gibt auch in der Helmholtz-Gemeinschaft einen Arbeitskreis, der aktuell dieses Thema diskutiert. „Anlass war, dass ggf. auch Endgerätehersteller (im vorliegenden Fall konkret Lenovo) den Vertragsabschluss entsprechender Endnutzer- und Exportkontrollbestätigungen (EUC) für die verkauften Systeme verlangen.“
Ergänzung aus dem Auditorium, ohne namentliche Nennung: Ggf. müsste die Verwaltung auch die Inhalte von Veröffentlichungen prüfen, die mit solchen Geräten entstanden sind.
Brandel: Kritisch wird es in diesem Sinne besonders, wenn es sich bei den Forschungen um Aktivitäten aus dem Militärbereich handelt. Generell besteht aber immer auch ein gewisses Restrisiko aus der eigenen Belegschaft. Zwar wird im Normalfall angenommen, dass sich alle Personen regelkonform verhalten, es gibt aber auch Beispiele für Ausnahmefälle. Insofern ist gerade in der Administration kritischer Systeme gegebenenfalls das 4-Augenprinzip anzuwenden.
Ergänzung aus dem Auditorium ohne namentliche Nennung: Ja, im Prinzip die die Arbeitsgruppen- bzw. Projektleitungen für die Nutzung der HPC-Systeme in ihrem Umfeld verantwortlich, aber es müssen dazu alle Lehrstuhlinhaber, Forschungsgruppenleitungen etc. auch entsprechend geschult werden.
Schneider: Zum Abschluss der Diskussion stellt sich noch einmal die Frage, welche Rolle die HPC-Nutzerschaft an der Informationssicherheit hat.
Wiebelt: Theoretisch sollte die Nutzerschaft bereits aus Eigeninteresse im Bereich der Informationssicherheit entsprechend sensibilisiert sein, aber wir dürfen uns nicht darauf verlassen.
Krey: Ein gewisses Vertrauen ist gut, aber entsprechende Kontrollen erweisen sich häufig als notwendig. So finden wir bspw. bei automatisierten Kontrollen immer wieder Lücken, wie z.B. bewusst oder auch unbewusst weltweit freigegebene Datenbereiche.
Lingenhöl: Dennoch benötigen wir ein gewisses Maß an technischem Verständnis und Selbstverantwortung der Nutzenden, weil wir als Administratoren die Daten und Prozesse der Nutzenden gar nicht im Detail kennen können.
Schneider: Herzlichen Dank an alle Beteiligten für den offenen und qualifizierten Austausch.
Verfasser:
Holger Marten - Christian-Albrechts-Universität zu Kiel, Leiter des Rechenzentrums
Olaf Schneider - Friedrich-Schiller-Universität Jena, Sprecher des ZKI-Arbeitskreis Supercomputing
Teilnehmende der Podiumsdiskussion:
Bernhard Brandel – Katholischen Universität Eichstätt-Ingolstadt, URZ-Stabsstelle IT-Sicherheit - ist Sprecher des ZKI-Arbeitskreises Informationssicherheit
Fabian Lingenhöl – Karlsruher Institut für Technologie, Scientific Computing Centre (SCC) - beschäftigt sich unter anderem mit IT-Sicherheit im NHR-Verbund und berichtet im Arbeitskreis über die Umsetzung von 2FA für die SCC-Systeme
Stefan Metzger – Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften (LRZ) - hält die Stabsstelle ISMS/CISO
Sebastian Krey – Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG) - beschäftigt sich als Administrator mit der Umsetzung von Informationssicherheitsanforderungen für HPC-Systeme
Bernd Wiebelt – Universität Freiburg – ist zuständig für das Informationssicherheitskonzept am bwForCluster NEMO2 (https://www.nemo.uni-freiburg.de)
Olaf Schneider (Moderation) – s. o. - ist Sprecher des AK Supercomputing und moderierte die Podiumsdiskussion im Vorfeld der ZKI-Herbsttagung im September 2025 am LRZ in Garching
(*) Links:
https://www.zki.de/fileadmin/user_upload/Downloads/IT-Grundschutz-Profil_fuer_Hochschulen_V1_0.pdf
https://www.zki.de/fileadmin/user_upload/Downloads/IT_Grundschutz_ZKI_2022_Final.pdf
(**)Anmerkung des Redners:
Ein risikobasierter Ansatz wie ISO 27001 erlaubt explizit die Akzeptanz von Risiken als bewusst getroffene Entscheidung. Dadurch kann man sich bei begrenzten Ressourcen das „Wesentliche“, also die kritischen Risiken konzentrieren, d.h. tragbare Risiken werden bewusst akzeptiert und nicht mit Maßnahmen hinterlegt.
