Heico lädt nicht, Uni-Mails kommen nicht an, Moodle down. Im November 2025 geriet die Universität Heidelberg ins Visier von Hackern. Der Angriff konnte erfolgreich abgewehrt werden. Jetzt steht die Frage im Raum, wie sich die Uni besser schützen kann
Als Mitte November zahlreiche digitale Dienste der Universität Heidelberg nur noch eingeschränkt erreichbar waren, sorgte dies bei vielen Studierenden zunächst für Verwirrung. Schnell wurde bekannt: Hier handelt es sich nicht um eine gewöhnliche technische Störung, sondern um einen groß angelegten Cyberangriff. Er sei „mit dem Ziel vorbereitet worden, die gesamten universitären IT-Dienste zum Erliegen zu bringen“, teilte das Rektorat mit. Der Angriff konnte jedoch „identifiziert und rechtzeitig abgewehrt werden“. Möglich war dies nur durch kurzfristige, weitreichende Sicherheitsmaßnahmen. Der Vorfall wirft Fragen auf, die über rein technische Aspekte hinausgehen: Wie gut ist die Universität in der digitalen Welt geschützt? Und wer trägt welche Verantwortung für die Sicherheit unserer Daten?
Aufgrund der laufenden Ermittlungen gibt es wenig öffentliche Informationen
Wie viel wir (nicht) wissen
Über den genauen Ablauf des Angriffs ist der Öffentlichkeit bislang wenig bekannt. „Aufgrund der noch laufenden Ermittlungen und aus Gründen der IT-Sicherheit“ können Art und Ursprung des Angriffs nicht öffentlich benannt werden, teilte das Universitätsrechenzentrum (URZ) mit. Klar ist jedoch: Der Angriff wurde frühzeitig erkannt, externe Forensik-Dienstleister sowie Landesbehörden hinzugezogen und das Rektorat umfassend informiert. Ein vollständiger Shutdown der IT-Dienste konnte verhindert werden, der universitäre Betrieb wurde weitestgehend aufrechterhalten.
Für Studierende und Mitarbeitende waren die Auswirkungen dennoch spürbar. E-Mail-Konten, Webanwendungen und zentrale Systeme wie das Campusmanagementsystem heiCO waren zeitweise nur über das Universitätsnetz oder per VPN erreichbar. Laut URZ konnte es dadurch zu Verzögerungen bei Bewerbungsprozessen und zu Einschränkungen in der Zusammenarbeit bei Forschungsvorhaben kommen. Die Universität informierte über verschiedene Kanäle – per E-Mail, über Pop-up-Hinweise und regelmäßig aktualisierte Websites. Gleichzeitig räumte das URZ ein, dass „einige wenige Rückmeldungen“ eingegangen seien, wonach einzelne Personen nicht über die E-Mail-Verteiler erreicht wurden. Die Ursachen dafür sollen im Einzelfall geprüft werden.
Warum Universitäten besonders verwundbar sind
Universitäten gelten seit Jahren als attraktive Ziele für Cyberangriffe. Dafür gibt es vor allem strukturelle Gründe. Das URZ verweist auf die „gelebten Leitlinien rund um die Freiheit von Forschung und Lehre und eine im Gegensatz zu den üblichen Strukturen in Unternehmen offenere IT-Landschaft.“ Gleichzeitig sind Hochschulen hochgradig dezentral organisiert: Fakultäten, Institute und Projekte nutzen unterschiedliche Systeme, oft mit eigenen Zuständigkeiten. Diese Offenheit steht in einem Spannungsverhältnis zu den Anforderungen moderner IT-Sicherheit.
Hinzu kommt der besondere Wert universitärer Daten. Forschungsdaten, personenbezogene Informationen von zehntausenden Studierenden und Mitarbeitenden sowie potenziell politisch relevante Inhalte, machen Hochschulen interessant für staatliche Akteure, Wirtschaftsspionage oder kriminelle Erpressungsversuche, erklärte das URZ dem ruprecht gegenüber.
Datenschutz als Selbstschutz
Der Hackerangriff wurde zwar abgewehrt, doch bleibt die Frage offen, wie sich individuelle Daten besser schützen lassen. Zunächst einmal geht es dabei vor allem um Eigenverantwortung. In den IT-Sicherheitsgrundregeln des URZ heißt es ausdrücklich: „Alle Nutzer:innen haben für die Sicherheit in der Informationstechnik ein hohes Maß an Verantwortung und Verpflichtung.“ IT-Sicherheit gehe alle etwas an. Konkret solle jede:r darauf achten, sensible Informationen nicht leichtfertig preiszugeben, das heißt, erst denken, dann klicken und eigenverantwortlich handeln. Essenziell sei es auch, sichere Passwörter zu nutzen, Virenscanner zu verwenden, die Software auf dem aktuellen Stand zu halten, möglichst ohne Administratorrechte zu arbeiten, sensible Daten durch Verschlüsselung zu schützen, regelmäßig Backups zu erstellen, und unbeaufsichtigte Geräte zu sperren. Viele dieser Maßnahmen sind banal – und gerade deshalb entscheidend.
Digitale Souveränität – eine strategische Frage
Über die individuelle Ebene hinaus rückt der Angriff ein größeres Thema in den Fokus: Digitale Souveränität. In einem gemeinsamen Positionspapier definieren die Chief Information Officers (CIOs) der Universitäten in Baden-Württemberg sowie der Universitäten und Hochschulen in Bayern digitale Souveränität als Fähigkeit von Individuen und Institutionen, ihre Rolle in der digitalen Welt „selbständig, selbstbestimmt und sicher“ auszuüben. Für Hochschulen bedeutet das vor allem drei Dinge: Unabhängig handeln zu können, die Kontrolle über digitale Prozesse in Forschung, Lehre und Verwaltung zu behalten und die Hoheit über Daten und IT-Infrastruktur nicht aus der Hand zu geben.
Bemerkenswert ist, dass digitale Souveränität dort explizit als strategische Aufgabe auf Leitungsebene verstanden wird. Sie ist demnach keine technische Detailfrage des Rechenzentrums, sondern eine hochschulpolitische Grundsatzentscheidung. Sie betrifft unmittelbar die Freiheit von Forschung und Lehre – und damit einen zentralen Wert der Universität. Entsprechend offen benennt das Positionspapier die Spannungsfelder, in denen sich Hochschulen bewegen. Ein hoher Grad an digitaler Souveränität ist mit viel personellem und finanziellem Aufwand verbunden. Kommerzielle IT-Angebote können daher nach sorgfältiger Risikoabwägung sinnvoll sein. Für besonders sensible Kernbereiche der Universität gelten jedoch deutlich höhere Anforderungen. Entscheidend ist, dass Hochschulen den Überblick über Alternativen behalten und sich nicht unreflektiert an einzelne Anbieter binden. Hier kommen sogenannte Lock-in-Effekte ins Spiel: die zunehmende Abhängigkeit von proprietären Plattformen, bei denen ein späterer Wechsel technisch, organisatorisch oder finanziell kaum noch möglich ist. Das Positionspapier mahnt, bei der Auswahl digitaler Lösungen nicht nur kurzfristige Kosten, sondern auch direkt Exit-Strategien mitzudenken.
Die Nutzung von Open-Source-Software wird in diesem Zusammenhang als wichtiger Hebel gesehen, um Abhängigkeiten zu reduzieren und die Kontrolle über eigene IT-Ressourcen zu stärken, etwa durch einsehbaren Quellcode und unabhängige Weiterentwicklung. Ergänzt wird diese Perspektive durch die Informationssicherheitsleitlinie der Universität Heidelberg. Sie formuliert Prinzipien, an denen sich die Hochschule beim Umgang mit digitalen Informationen orientieren soll: Verfügbarkeit, Vertraulichkeit und Integrität. Maßnahmen wie Zugriffsbeschränkungen oder VPN-Pflichten dienen dem Schutz dieser Werte, auch wenn sie im Alltag als Einschränkung wahrgenommen werden können.
Die digitale Abhängigkeit von großen US-Konzernen ist kritisch zu prüfen
Die Leitlinie macht zudem deutlich, dass Informationssicherheit institutionell klar verankert ist. Wie das Rektorat dem ruprecht auf Anfrage erklärt, liegt „die Gestaltung und Koordinierung der Informationssicherheitsprozesse an der Universität Heidelberg in der Verantwortung des Chief Information Officer (CIO). In dieser Funktion berichtet der CIO regelmäßig an das Rektorat. Auf Basis der vom CIO festgelegten strategischen Ausrichtung koordiniert der Chief Information Security Officer (CISCO) die operative Umsetzung der notwendigen Maßnahmen.“ Auch die Themen Datenschutz, Digitale Souveränität und Ethik würden regelmäßig behandelt werden und sind im Prorektorat für Forschung und Digitalisierung verankert.
Verantwortung übernehmen
Gerade die ethische Dimension gewinnt an Bedeutung. Die Universität Heidelberg nutzt – wie viele Hochschulen – Dienste großer US-amerikanischer Tech-Konzerne, insbesondere von Microsoft. Gleichzeitig wird auf Landes- und Universitätsebene intensiv über Alternativen, Open-Source-Lösungen und eine Zwei-Vendor-Strategie diskutiert. Ziel ist es, Abhängigkeiten zu reduzieren und die Kontrolle über zentrale digitale Infrastrukturen zu stärken.
Die Langfristige Abhängigkeit von großen US-Konzernen bewertet der CIO der Universität Heidelberg, Prof. Dr. Vincent Heuveline wie folgt: „Auch in Anbetracht der internationalen Entwicklungen ist diesbezüglich selbstverständlich Vorsicht geboten, damit die grundlegenden Werte der Freiheit in Forschung und Lehre nicht durch Einschränkungen oder politische Einflussnahmen im digitalen Umfeld tangiert werden“. Laut dem Ministerium für Wissenschaft, Forschung und Kunst Baden-Württemberg begannen „Im Februar 2021 die Expert:innen im Think-Tank (TT05) zu prüfen, ob der Einsatz der Microsoft 365 Cloud-Dienste (M365) an baden-württembergischen Universitäten im Einklang mit der Datenschutzgrundverordnung (DS-GVO) steht und welche Risiken damit verbunden sind. Das beauftragte Gutachten zeigt: Der Einsatz von M365 ist unter gewissen Bedingungen und mit der Umsetzung von technischen und organisatorischen Maßnahmen aus der Muster-DSFA für eine Hochschule datenschutzrechtlich vertretbar.“
Die Nutzung von Microsoft 365 wird daher kontinuierlich überprüft und bleibt Gegenstand hochschulpolitischer Diskussionen. Dabei geht es nicht nur um Technik oder Kosten, sondern um Fragen von Freiheit von Forschung und Lehre, Datenschutz und die langfristige Handlungsfähigkeit öffentlicher Institutionen. Diese Perspektive greift auch das im März 2025 gegründete Camilla-und-Georg-Jellinek-Zentrum für Ethik auf und erklärt uns auf Anfrage, digitale Ethik frage „nach moralischen Regeln und Werten, die für den Umgang mit digitalen Technologien gelten sollten. Dabei stehen häufig die Themen Privatsphäre, Datenschutz, Freiheit, Gerechtigkeit, Transparenz und Verantwortung im Zentrum der Überlegungen.“ Ziel sei es, ethische Reflexion als Teil wissenschaftlicher Professionalität in allen Fachrichtungen zu fördern. Dazu gehöre selbstverständlich auch der kritische Umgang mit sozialen Medien und künstlicher Intelligenz.
Universitäten gelten seit Jahren als attraktive Ziele für Cyberangriffe
Mehr als nur ein technischer Vorfall
Der abgewehrte Cyberangriff hat keine vollständige Katastrophe ausgelöst. Doch er hat Schwachstellen sichtbar gemacht, nicht nur in technischen Systemen, sondern auch im Umgang mit digitaler (Un)sicherheit. Digitale Sicherheit ist keine Selbstverständlichkeit und keine Aufgabe weniger Spezialist:innen. Sie ist Teil des universitären Alltags und eine gemeinsame ethische Verpflichtung. Der Angriff auf die Universität Heidelberg kann daher auch als Anlass verstanden werden, digitale Technologien nicht nur effizienter, sondern bewusster, reflektierter und verantwortungsvoller zu nutzen.
Von Laetitia Klein
...ist schon immer gerne der Frage Warum nachgegangen. Diese Leidenschaft prägt nicht nur ihr Studium der Geschichte und Politikwissenschaften sondern seit 2025 auch ihre Mitarbeit beim ruprecht. Besonders gerne verliert sie sich in Recherchen oder Aktuellem aus Kultur und Politik.
...studiert Biowissenschaften und schreibt … nichts. Er layoutet und illustriert seit 2023 für den ruprecht.
