Lange Schlangen vor der Technischen Universität Wien – und das am Wochenende. Wer zufällig vorbeikam, hätte an ein Pop-Konzert denken können. Tatsächlich warteten Studierende und Mitarbeiter darauf, ihr Passwort zurückzusetzen. Der Grund: ein schwerer Sicherheitsvorfall im IT-Netzwerk der TU Wien.
Bereits letzte Woche kam es zu einem massiven Sicherheitsvorfall. Angreifer konnten Benutzerkonten kompromittieren, derzeit kann nicht ausgeschlossen werden, dass auch sensible Daten in fremde Hände geraten sind. Teile der IT-Services waren zeitweise nur eingeschränkt nutzbar. Als Notmaßnahme wurde ein flächendeckender Passworttausch angeordnet – für viele sogar persönlich vor Ort, wenn keine ID Austria vorhanden war.
Der Vorfall zeigt einmal mehr, wie verwundbar selbst große wissenschaftliche Einrichtungen sind. Universitäten verarbeiten enorme Mengen personenbezogener Daten, betreiben hochkomplexe Forschungsinfrastrukturen und sind eng in internationale Kooperationen eingebunden. Genau diese Mischung macht sie zu attraktiven Zielen – nicht nur für Cyberkriminelle, sondern auch für staatliche Akteure und wirtschaftlich motivierte Spionage.
Für Hacker gibt es viel zu holen: Die TU Wien steht exemplarisch für Forschung mit hoher strategischer Bedeutung. In Bereichen wie Quantenforschung, Materialwissenschaft, Künstliche Intelligenz oder Sicherheitstechnik entstehen Daten, die für Angreifer besonders wertvoll sind. Dazu kommen enge Kooperationen mit Industrie, Start-ups, Spin-offs und internationalen Konsortien – von EU-Forschungsprogrammen bis zu bilateralen Innovationspartnerschaften. Wenn gerade solche Institutionen nicht durch verbindliche Sicherheitsstandards geschützt sind, entsteht ein systemisches Risiko.
Besonders brisant ist der Zeitpunkt. Österreich hat eine neue EU-weite Richtlinie mittlerweile im neuen Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) umgesetzt. Dieses sieht strengere Pflichten, mehr Meldevorgaben und ein schärferes Aufsichtsregime vor. Doch das Gesetz wurde erst Ende 2025 kundgemacht und tritt nach einer Übergangsfrist erst am 1. Oktober 2026 in Kraft – ganze zwei Jahre nach Ablauf der EU-Umsetzungsfrist.
Noch problematischer: Universitäten und Hochschulen sind vom NISG 2026 ausdrücklich ausgenommen. Dabei hätte Österreich die Möglichkeit gehabt, Bildungseinrichtungen einzubeziehen – vor allem dann, wenn sie kritische Forschung betreiben. Diese Option wurde nicht genutzt. Private Forschungsinstitute fallen unter das Gesetz, öffentliche Kerninstitutionen hingegen nicht, so die "Presse".
