Veröffentlicht am 18. March 2026
Dr. Shushanik Minasyan-Ostermann
Associate Fellow am CASSIS (Universität Bonn)
Montagmorgen, 8:00 Uhr. Dr. Max Mustermann, Energieökonom an einer renommierten deutschen Universität, öffnet mit dem ersten Kaffee seine E-Mails. Zwischen den Studierendenanfragen und diversen Mitteilungen sticht eine Nachricht hervor:
„Sehr geehrter Herr Mustermann, wir sind auf Ihren jüngsten Artikel zur Energiepolitik aufmerksam geworden und würden uns sehr freuen, wenn Sie mit Ihrem Beitrag unseren hochkarätig besetzten Sammelband bereichern würden. Für mehr Details klicken Sie bitte hier.“
Die E-Mail wirkt auf den ersten Blick professionell: Logo, Impressum, akademischer Schreibstil. Ein Klick wäre schnell getan. Was hier dennoch für uns wie eine harmlose Kooperationseinladung wirkt, ist ein potenzielles Sicherheitsrisiko mit gravierenden Folgen für die Universität. Neben Konferenzankündigungen und diversen Anfragen gehören solche Nachrichten inzwischen zum akademischen Alltag und werden häufig beiläufig weggeklickt, ohne deren Gefährdungspotenzial ausreichend zu reflektieren.
In den vergangenen Jahren haben die Cyberangriffe auf deutsche Forschungseinrichtungen deutlich zugenommen. Besonders betroffen sind Universitäten und strategische Forschungszentren, die sensible Daten verarbeiten. So wurde das Fraunhofer Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS) im April 2025 Opfer eines Ransomware Angriffs, in dem Unbekannte Forschungsdaten verschlüsselten und diese im Darknet zum Verkauf anboten.1 Ebenfalls im Frühjahr letzten Jahres wurde die Deutsche Gesellschaft für Osteuropakunde (DGO) zum Ziel der staatlich unterstützen Hackergruppe APT29 (auch als Cozy Bear bekannt), die durch wiederholten Zugriff auf E-Mail-Server und Kommunikationssysteme offenbar Informationen über die russlandkritischen Akteure in Deutschland gewinnen wollte.2 Das Zentrum für Entwicklungsforschung (ZEF) in Bonn, die Universität der Bundeswehr in München sowie die Universität Heidelberg ergänzen diese Liste. Diese Entwicklung wird voraussichtlich weiter anhalten, da in Zeiten globaler technologischer Konkurrenz, fortschreitender Digitalisierung und gesellschaftlicher Transformation die Bedeutung der Wissenschaft enorm wächst. Dadurch rückt sie immer mehr in den Fokus der Cyberkriminalität.
Das Bundesministerium für Bildung und Forschung3 und der Wissenschaftsrat4 befassen sich in den letzten Jahren verstärkt mit diesem Thema und adressieren in ihren Positionspapieren zur Forschungssicherheit die Bedeutung eines robusten Umgangs mit sicherheitsrelevanten Risiken. Hierbei legen sie den Fokus primär auf den Schutz vor Know-How-Abfluss, externe Einflussnahme und Dual-Use-Risiken. Empfohlen wird zudem die Einrichtung einer nationalen Plattform für Wissenssicherheit, eine Anlaufstelle für den Austausch zwischen den Wissenschaftler:innen und Politik.
Technische Schutzmaßnahmen und regulatorische Leitlinien werden zwar in den Positionspapieren behandelt, diese bleiben allerdings peripher. Was ebenfalls weitgehend ausgeklammert wird, ist die Informationssicherheitskultur. Dabei stellt sie heutzutage ein wesentliches Element der Forschungssicherheit dar, da sie den Umgang mit forschungsrelevanten Risiken prägt und über die tatsächliche Wirksamkeit technischer sowie organisatorischer Schutzmaßnahmen entscheidet. Nicht primär fehlende Technologie, sondern Defizite in Awareness, strategische Planung und Governance-Strukturen erweisen sich als Risikofaktoren in der deutschen Forschungslandschaft. An den deutschen Hochschulen sind systematische Schulungen zur Informationssicherheit nach wie vor kaum etabliert. Die Wissenschaftler:innen stehen bei sicherheitsrelevanten Herausforderungen häufig allein und müssen individuelle Entscheidungen treffen, ohne grundlegende Kenntnisse zum Schutz der Informationssicherheit zu haben. Dabei bilden die Mitarbeitenden und Wissenschaftler:innen, die erste Verteidigungslinie im Umgang mit Sicherheitsrisiken. Unabhängig davon, wie viele Gremien, Plattformen und Ausschüsse zur Etablierung dieser Kultur eingerichtet werden, bleibt deren Implementierung ergebnislos, wenn die einzelnen Akteure das Bewusstsein für eine nachhaltige Informationssicherheitskultur nicht besitzen. Nur durch Sensibilisierung, kontinuierliche Schulung und die aktive Mitwirkung aller Beteiligten vermag die Informationssicherheit tatsächlich gelebt und verankert werden.
Ein weiterer zentraler Fehler besteht darin, dass die Governance-Strukturen, die sich im Aufbauprozess befinden, von mangelhaftem Verständnis über die Informationssicherheit begleitet werden. Diese wird ausschließlich mit IT-Sicherheit gleichgesetzt, sodass das breite Verständnis für organisatorische, rechtliche und kulturelle Aspekte vernachlässigt wird. Der managementorientierte Charakter der Informationssicherheitspolitik wird hierbei kaum berücksichtigt. Damit wird übersehen, dass effektive Informationssicherheit eine unternehmens- und managementbezogene Aufgabe ist, die strategische Planung, Schulungen und Sensibilisierung aller Mitarbeitenden erfordert, um menschliche Schwachstellen und organisatorische Lücken erfolgreich zu schließen.
Informationssicherheit ist derzeit noch ein Fremdwort im forschungsstrategischen Diskurs. Dieses Defizit steht jedoch nicht im Einklang mit dem Anspruch der Exzellenz. Denn die Exzellenz bemisst sich heute nicht allein an Publikationen, Drittmitteln oder internationaler Sichtbarkeit, sondern ebenso an der Fähigkeit, sensibles Wissen verantwortungsvoll zu schützen. Eine wirksame Informationssicherheitspolitik ist daher kein bürokratisches Zusatzinstrument, sondern ein integraler Bestandteil institutioneller Qualität. Sie schafft Vertrauen und schützt geistiges Eigentum.
1 Daturex: Ransomware-Angriff auf Frauenhofer Institut: IT-Lücke entdeckt, vom 13. Januar 2025, online verfügbar: https://informationssicherheitsbeauftragter-dresden.de/ransomware-angriff-auf-fraunhofer-institut-it-luecke-entdeckt/?utm_source=chatgpt.com.
2 Security Insider: BSI analysiert russischen Cyberangriff auf Osteuropaverein, vom 09. April 2025, online verfügbar: https://www.security-insider.de/cyberangriff-deutsche-gesellschaft-osteuropakunde-russische-beteiligung-a-97b469822986a80812fb41c470cd9fb5/.
3 BMBF: Positionspapier zur Forschungssicherheit im Lichte der Zeitenwende vom Oktober 2024, online verfügbar https://www.bmftr.bund.de/SharedDocs/Downloads/DE/2024/positionspapier-forschungssicherheit.html.
4 WR: Wisenschaft und Sicherheit in Zeiten weltpolitischer Umbrüche vom Mai 2025, online verfügrab. https://www.wissenschaftsrat.de/download/2025/2485-25.
Dr. Shushanik Minasyan-Ostermann ist Associate Fellow am Zentrum für strategische Fragen und globale Herausforderungen der Universität Bonn (CASSIS). Zuvor war sie am Institut für Politische Wissenschaft in Bonn, an der Johns- Hopkins-Universität in Washington DC und an der TU Darmstadt als wissenschaftliche Mitarbeiterin tätig. Berufliche Stationen führten sie sogleich nach Polen, Ungarn, Kroatien und Armenien.
Ihre Arbeitsschwerpunkte liegen im Bereich der europäischen und deutschen Außen - und Sicherheitspolitik. Ein besonderer Fokus liegt dabei auf die Verteidigungspolitik, Nachbarschaftspolitik, KRITIS, Digitalisierung und Forschungssicherheit. Neben der europäischen Perspektive gilt ihr besonderes Interesse den sicherheitspolitischen Narrativen in Eurasien und im Schwarzmeerraum. Die Analyse der sicherheitspolitischen Partikularinteressen der Regionalmächte (Russland, China, Iran, Türkei und Indien) bilden einen weiteren Kern ihrer Forschung.
Expertise teilen. Menschen verbinden. Zukunft gestalten.
Werden Sie Teil des DAFI Knowledge Hubs und melden sich zu unserem Newsletter an:
Insights von Experten zur IT- und Informationssicherheit
Wissen, verständlich aufbereitet für die Praxis
Einladungen zu exklusiven Events und Netzwerken
