Campus-Management-Systeme: Das Herz der Verwaltung schlägt allein

Campus-Management-Systeme (CMS) sind an fast 90 Prozent der deutschen Hochschulen implementiert (HRK). Sie verwalten den Student-Life-Cycle: Bewerbung, Immatrikulation, Prüfungsmanagement, Notenspiegel, Exmatrikulation. Das am weitesten verbreitete System ist HISinOne der Hochschul-Informations-System eG – einer genossenschaftlich organisierten Institution mit rund 200 Mitgliedshochschulen in Deutschland.

Das strukturelle Problem: Vollständige digitale Workflows – von der Immatrikulation bis zur Exmatrikulation – sind an deutschen Hochschulen kaum vorhanden. Das hat die HRK wiederholt dokumentiert. Was formal implementiert ist und was tatsächlich als Gesamtprozess funktioniert, sind zwei verschiedene Dinge.

Die Ursache liegt nicht in der Software. Sie liegt darin, dass Campus-Management-Systeme in einem Vakuum eingeführt wurden: ohne Schnittstellen zu anderen Systemen, ohne Datenmodellierung für den Betrieb als Teil einer integrierten Infrastruktur. Die Folge ist eine alltägliche Praxis, die in fast jeder Hochschulverwaltung existiert: Daten werden aus dem Campus-Management exportiert, in Excel überführt und manuell in das nächste System übertragen.

Doppelpflege, Zeitverzögerung, Fehlerquellen. Das ist kein Ausnahmefall. Es ist der Standardbetrieb.

Ein besonders sichtbarer Bruchpunkt: die Verbindung zwischen Campus-Management-System und dem Webauftritt. Studiengangsseiten, Lehrveranstaltungsverzeichnisse, Prüfungsordnungen – all das lebt in HISinOne. Auf der Hochschulwebsite erscheinen dieselben Informationen, aber aus einer zweiten, manuell gepflegten Quelle. Was davon aktuell ist, weiß oft niemand mit Sicherheit.

E-Learning-Systeme: Rückgrat der Lehre mit Sicherheitsproblemen

Moodle, ILIAS und Stud.IP sind an 90 Prozent aller Hochschulen in Deutschland im Einsatz (Open Source LMS Initiative). Diese drei Systeme decken 98 Prozent aller aktiven LMS-Instanzen im deutschsprachigen Raum ab, wie eine Studie über 500 Hochschulen in Deutschland, Österreich und der Schweiz gezeigt hat, die auf der Jahrestagung Sicherheit 2024 der Gesellschaft für Informatik veröffentlicht wurde.

Die Systeme sind Open Source, kostenlos lizenzierbar – und werden von den Hochschulen selbst betrieben. Das ist ihr größter Vorteil und ihr größtes Problem.

Betrieb bedeutet: Serverbetrieb, Updates, Sicherheitspatching, Datenbankwartung, Backup-Management. An kleinen und mittleren Hochschulen hängt das oft an wenigen Personen, die parallel andere Aufgaben verantworten. Die Folge ist, dass Updates verzögert oder überhaupt nicht eingespielt werden.

Die Sicherheitsstudie von 2024 ist eindeutig: Noch 2022 wiesen 73 Prozent der untersuchten LMS mindestens eine bekannte Schwachstelle auf. Das Niveau hat sich seitdem verbessert – aber der Befund zeigt, wie lange verwundbare Systeme im Betrieb bleiben, bevor Patches eingespielt werden.

Das eigentliche Integrationsproblem ist ein anderes: LMS-Systeme sind weitgehend von der restlichen IT-Infrastruktur entkoppelt. Kurseinschreibungen, Prüfungsergebnisse und Lernfortschritte existieren im LMS – aber sie synchronisieren sich nicht automatisch mit dem Campus-Management-System. Ein Studierender, der sich im LMS einschreibt, ist damit noch nicht im Campus-Management immatrikuliert. Noten aus dem LMS müssen manuell oder über halbautomatisierte Prozesse ins Prüfungsverwaltungssystem übertragen werden. Der Datenfluss zwischen den zentralen Systemen der Lehre und der Verwaltung existiert in den meisten Hochschulen nicht – oder er ist so fragil, dass er regelmäßig manuell nachkorrigiert werden muss.

Wer an einer deutschen Hochschule studiert oder arbeitet, begegnet früh einer charakteristischen Erfahrung: mehrere Passwörter, mehrere Nutzernamen, mehrere Portale – für das LMS, das Campus-Management, das E-Mail-System, die VPN-Verbindung, das Druckersystem, das Bibliotheksportal. Jedes System kennt denselben Menschen. Aber sie sprechen nicht miteinander.

Das ist kein technisches Unvermögen. Es ist das Ergebnis fehlenden zentralen Identity Managements (IDM).

Ohne IDM existieren an Hochschulen, wie bereits in einer frühen Analyse von Peter Gietz für das Deutsche Forschungsnetz (DFN) beschrieben, isolierte, voneinander unabhängige Verzeichnisse mit denselben Identitätsdaten, ohne dass zwischen ihnen Vertrauen bezüglich der Richtigkeit der Daten besteht. Jede dieser Datensammlungen hat eigene Administratoren, eigene Datenschemata, eigene Authentifizierungsmechanismen. Die Folge: Zugriffsrechte werden zu spät vergeben, Identitätsdaten weichen voneinander ab, und Accountverwaltung kostet unverhältnismäßig viel manuellen Aufwand.

Single Sign-On (SSO) – die Möglichkeit, sich einmalig zu authentifizieren und auf alle relevanten Systeme zuzugreifen – ist technisch seit Jahrzehnten möglich. Die Implementierung scheitert aber regelmäßig an der Komplexität der Systemlandschaft: Jedes zusätzliche System, das angebunden werden soll, erfordert eigene Integration, eigene Konfiguration, eigene Wartung. Hochschulen, die Dutzende von Fachanwendungen betreiben, können diese Anbindung mit bestehenden IT-Ressourcen schlicht nicht leisten.

Die Konsequenz ist real: Wenn ein Beschäftigter die Hochschule verlässt, müssen Accounts in jedem System separat deaktiviert werden. Wenn das nicht vollständig geschieht, bleiben aktive Zugänge in Systemen bestehen, die niemand mehr überwacht. Das ist kein theoretisches Sicherheitsrisiko.

Datenschutz: Viele Systeme, viele Datensilos, eine DSGVO

Hochschulen verarbeiten personenbezogene Daten in einem Umfang, der in kaum einer anderen Organisationsart vorkommt: Bewerberdaten, Immatrikulationsdaten, Prüfungsdaten, Gesundheitsatteste, Stipendieninformationen, Beratungsgesprächsprotokolle, Beschäftigtendaten – und das über den gesamten Lebensweg eines Studierenden hinweg, oft über mehrere Jahre.

Die DSGVO gilt selbstverständlich auch für Hochschulen als öffentliche Stellen. Die Rechtsgrundlagen für die Datenverarbeitung ergeben sich aus dem Zusammenspiel von DSGVO, Hochschulgesetzen der Länder und dem allgemeinen Verwaltungsrecht. Technisch-organisatorisch bedeutet das: Jede Datenverarbeitung muss zweckgebunden, auf das Notwendige begrenzt und durch geeignete Maßnahmen gesichert sein.

Das Problem ist strukturell: Eine fragmentierte IT-Landschaft mit Dutzenden nicht integrierter Systeme macht DSGVO-Compliance systematisch schwierig.

Konkret: Wenn personenbezogene Daten in sieben verschiedenen Systemen existieren, muss ein Löschantrag in sieben verschiedenen Systemen umgesetzt werden – sofern überhaupt bekannt ist, in welchen. Auskunftsansprüche nach Art. 15 DSGVO müssen vollständig beantwortet werden, was eine Vollständigkeitsaussage über alle verarbeitenden Systeme erfordert. Wenn diese Systeme nicht inventarisiert und ihre Datenflüsse nicht dokumentiert sind, ist eine rechtlich belastbare Auskunft nicht möglich.

Die Datenlage zu DSGVO-Verstößen im Hochschulbereich ist wenig transparent – öffentliche Behörden erscheinen in Bußgeldregistern deutlich seltener als private Unternehmen, was aber nicht bedeutet, dass Verstöße ausbleiben. Was die DSGVO-Statistiken für 2024 und 2025 insgesamt zeigen: Datenpannen entstehen häufig nicht durch ausgefeilte Angriffe, sondern durch strukturelle Schwächen – fehlende Löschprozesse, mangelhafte Zugriffskontrollen, unverschlüsselte Datenübertragungen. Das sind exakt die Schwachstellen, die durch fragmentierte IT-Landschaften entstehen.

IT-Sicherheit: Eine Angriffsfläche, die schneller wächst als die Abwehr

Die Zahlen aus der IT-Sicherheitsanalyse deutscher Universitäten sind alarmierend. Zwischen 2023 und 2025 stiegen verwertbare Schwachstellen von 8.373 auf 26.233 Fälle – ein Anstieg um den Faktor drei (Forschung & Lehre, 2025). Der Median an Schwachstellen pro Universität sprang von 39,5 auf 185,5. Bei 44,6 Prozent der Universitäten wurden 2025 exponierte Netzwerkdienste ohne Authentifizierung oder mit Standard-Zugangsdaten gefunden.

Parallel dazu wächst die IT-Infrastruktur: Die Anzahl der Domains deutschsprachiger Universitäten stieg von 2023 bis 2025 um 27 Prozent. Extern gehostete Subdomains wuchsen um 48 Prozent, Cloud-gehostete Subdomains um 159 Prozent. Mehr Dienste, mehr externe Anbieter, mehr potenzielle Einfallstore.

Das Hochschul-Barometer 2024 des Stifterverbandes und der Heinz Nixdorf Stiftung zeigt, wie die Hochschulleitungen diese Lage einschätzen: 97,3 Prozent erkennen die wachsende Bedrohung durch Cyberangriffe. Nur 13,6 Prozent halten die Sicherheitsvorkehrungen in Deutschland insgesamt für ausreichend. Und lediglich 53,4 Prozent geben an, für einzelne Bereiche überhaupt Notfallpläne zu haben.

Der direkte Zusammenhang zur IT-Fragmentierung: Hochschulen, die Dutzende nicht integrierter Systeme betreiben, können diese Systeme nicht einheitlich überwachen, patchen und absichern. Sicherheit setzt Sichtbarkeit voraus. Wer nicht weiß, welche Systeme im Betrieb sind, kann nicht wissen, welche davon verwundbar sind.

Hinzu kommt die Fachkräftesituation: 38,5 Prozent der Hochschulleitungen berichten Schwierigkeiten, IT-Stellen zu besetzen (Monitor Digitalisierung 360°, 2024). Dasselbe Personal, das die Infrastruktur betreibt, soll sie gleichzeitig absichern, updaten und weiterentwickeln. Das ist rechnerisch nicht lösbar.

Bewerbermanagement und CRM: Der blinde Fleck im Recruiting

Während in der Privatwirtschaft Customer-Relationship-Management (CRM) seit Jahrzehnten zum Standard gehört, fehlt das Äquivalent an den meisten deutschen Hochschulen vollständig: ein System, das Studieninteressierte vom ersten Kontakt über die Bewerbungsphase bis zur Einschreibung durchgängig begleitet und dabei Daten für gezielte Kommunikation nutzbar macht.

Was existiert, sind meist zwei voneinander entkoppelte Prozesse: Der Webauftritt der Hochschule mit Studiengangsseiten und Kontaktformularen – und das Campus-Management-System mit dem digitalen Bewerbungsportal. Was dazwischen liegt – die Phase der Studienorientierung, der Informationssuche, der ersten Anfragen –, wird von keinem System erfasst.

Das hat konkrete Folgen. Hochschulen wissen in der Regel nicht, wie viele Personen ihre Studiengangsseiten besucht haben, ohne sich zu bewerben. Sie wissen nicht, welche Fragen vor einer Bewerbung am häufigsten gestellt werden. Sie wissen nicht, an welchem Punkt im Prozess Interessierte abspringen. Und sie haben keine Möglichkeit, mit Personen in Kontakt zu bleiben, die Interesse gezeigt, aber noch nicht entschieden haben.

Das ist in einem schrumpfenden Bewerbermarkt kein Komfortproblem. Es ist ein struktureller Wettbewerbsnachteil. Die KMK prognostiziert für 2025 und 2026 einen Rückgang der Studienanfängerzahlen auf bis zu 380.300 – mehr als sechs Prozent weniger als 2023. Hochschulen, die nicht wissen, wie sie potenzielle Studierende erreichen, verlieren diese an Einrichtungen, die es tun.

Das Bewerbungsportal selbst ist häufig ein weiteres Problem. An vielen Hochschulen nutzen Bewerberinnen und Bewerber das HISinOne-Bewerberportal – ein funktional ausreichendes, aber gestalterisch und UX-technisch oft veraltetes System. Die Erfahrung vor der Hochschulwahl und während der Bewerbung prägt die Wahrnehmung der Institution. Ein umständlicher, fehleranfälliger Bewerbungsprozess ist keine Kleinigkeit. Er ist der erste direkte Kontaktpunkt zwischen einer Hochschule und ihrer Zielgruppe.

Fazit: Was ist zu tun

Dieser Report beschreibt kein singuläres Versagen. Er beschreibt das Ergebnis jahrzehntelanger Einzelentscheidungen unter strukturell schwierigen Bedingungen: knappe IT-Budgets, befristete Förderlogik, föderale Zuständigkeiten und ein Fachkräftemarkt, auf dem Hochschulen mit der Privatwirtschaft konkurrieren können – und meistens verlieren.

Das ändert aber nichts an der Dringlichkeit.

Hochschulen stehen vor einer Situation, in der die IT-Infrastruktur zum strategischen Hemmnis wird: im Recruiting, in der Lehre, in der Verwaltungseffizienz, in der Datensicherheit, in der DSGVO-Compliance. Das alles gleichzeitig zu lösen ist unrealistisch. Das alles gleichzeitig zu ignorieren ist fahrlässig.

Was zu tun ist – nicht als Schritt-für-Schritt-Anleitung, sondern als Forderung an Hochschulleitungen:

Governance vor Technologie. Bevor eine weitere Software eingeführt wird, braucht es eine Antwort auf die Frage: Wer ist in dieser Hochschule verantwortlich für die IT-Architektur als Gesamtsystem? Nicht für den Betrieb einzelner Anwendungen – für das Zusammenspiel. Wenn diese Frage keine klare Antwort hat, wird jede neue Einführung das Problem vergrößern.

Inventar der Systemlandschaft. Hochschulen, die nicht wissen, welche Systeme sie betreiben, welche Daten darin liegen und wie diese zusammenhängen, können keine informierten Entscheidungen treffen. Diese Bestandsaufnahme ist keine IT-Aufgabe. Sie ist eine Führungsaufgabe.

Strukturfinanzierung statt Projektlogik. IT-Infrastruktur, die nur über Fördermittel finanziert wird, ist Infrastruktur auf Zeit. Schnittstellen, IDM-Systeme, Sicherheitsmonitoring – das sind keine Projekte. Das ist Betrieb. Und Betrieb kostet strukturell Geld, das in Basishaushalten eingeplant sein muss.

Ehrliche Risikoeinschätzung. 97,3 Prozent der Hochschulleitungen erkennen die Cyberbedrohung. Nur 53,4 Prozent haben Notfallpläne. Diese Lücke ist keine Wissenslücke. Sie ist eine Entscheidungslücke. Wer die Bedrohung kennt und keine Vorsorge trifft, trägt Verantwortung für das, was folgt.

Datenschutz als Systemfrage begreifen. DSGVO-Compliance ist in fragmentierten IT-Landschaften nicht durch Rechtsabteilungen allein lösbar. Sie erfordert eine technische Infrastruktur, in der Datenlöschung, Auskunftsrechte und Zugriffssteuerung systemisch umgesetzt sind. Solange das fehlt, bleibt Compliance ein Wunsch.

Der Status Quo der Hochschul-IT ist dokumentiert. Die Frage, die Hochschulleitungen beantworten müssen, lautet nicht: Wie sieht das ideale System aus? Sie lautet: Was ist der nächste konkrete Schritt, und wer ist dafür verantwortlich?

Quellen:

• Monitor Digitalisierung 360°, CHE / Hochschulforum Digitalisierung, November 2024

• HIS-HE Schwerpunktstudie „Digitalisierung der Hochschulen 2.0", Frühjahr 2025 (175 Hochschulen D/A/CH)

• Hochschul-Barometer 2024, Stifterverband / Heinz Nixdorf Stiftung, Januar 2025

• Statistisches Bundesamt (Destatis): Ausgaben der Hochschulen 2024, März 2026

• HRK – Hochschulrektorenkonferenz: Digitalisierung an Hochschulen

• Gesellschaft für Informatik (GI): Studie zur LMS-Sicherheit an Hochschulen, Jahrestagung Sicherheit 2024

• Open Source LMS Initiative (ILIAS, Stud.IP, Moodle an Hochschulen e.V.): Verbreitungserhebung

• Forschung & Lehre: IT-Sicherheitsanalyse an deutschen Universitäten – Schwachstellenentwicklung 2023–2025

• KMK: Vorausberechnung Studienanfänger- und Studierendenzahlen 2024–2035, September 2025

• Peter Gietz / DFN: Identity Management an deutschen Hochschulen (Grundlagenanalyse)