“Bildungseinrichtungen sind meist leichte Opfer”: Warum Schulen und Hochschulen immer öfter von Hackern heimgesucht werden

1

BERLIN.Bildungsinstitute stehen zunehmend unter Beschuss durch Cyberkriminelle. Dieser Befund scheint sich zumindest aus den Schlagzeilen aufzudrängen: So zum Beispiel angesichts eines Angriffs auf sieben Schulen in der Stadt Karlsruhe, das Münchener Helmholtz-Zentrum oder flächendeckende Attacken auf Hochschulen in Nordrhein-Westfalen. Schulen, Universitäten und Forschungseinrichtungen sind einer der zahlreichen öffentlichen Bereiche – neben Krankenhäusern, Versorgungsbetrieben oder Behörden – die sich die Hacker zunehmend zu erobern scheinen. Doch ist dies auch so? Und wenn ja: Warum?

Die Zahl der Angriffe auf Bildungseinrichtungen steigt – mit üblen Folgen für die Opfer. Illustration: Shutterstock

In der Hauptsache sind für die meisten Experten Schulen, Universitäten und andere Bildungseinrichtungen nicht vorrangige und besonders attraktive Ziele für Hacker. Generell suchen Cyberkriminelle zunächst nach Schwachstellen und erst dann nach Branchen. Dennoch sehen die Experten durchaus eine gewisse Attraktivität von Bildungsinstitutionen – was nicht nur mit mangelnden IT-Ressourcen zu tun hat, wie die Vertreter von Digitalunternehmen im Folgenden darlegen.

Hacker wissen meist gar nicht, welche Einrichtung sie angreifen.

Für Tom Haak, den CEO von Lywand, „wissen Hacker meist gar nicht, welche Einrichtungen sie angreifen. Allein in Österreich ist uns eine Reihe von Bildungseinrichtungen bekannt, die in den letzten Wochen und Monaten Opfer eines Ransomware-Angriffs geworden sind. Dies ist der aktuellen Vorgehensweise von Cyberkriminellen geschuldet. Sie arbeiten kaum zielgerichtet, sondern operieren nach dem Prinzip der Nutzenmaximierung, indem sie ihre Angriffskampagnen breit und automatisiert ausrollen. Entsprechend suchen sie nicht gezielt den Weg in bestimmte Branchen, sondern lediglich den Weg des geringsten Widerstands. Für Hacker ist es nachrangig, wen sie angreifen aber ungleich bedeutender, einen Weg in fremde Infrastrukturen zu finden.“

IT-Architekturen an Universitäten, Schulen oder Forschungsinstituten sind im gleichen Maße gefährdet wie die IT anderer klein- und mittelständischer Unternehmen.

Zu einem ähnlichen Urteil kommt Thomas Krause, Regional Director bei ForeNova: „IT-Architekturen an Universitäten, Schulen oder Forschungsinstituten sind im gleichen Maße gefährdet wie die IT anderer klein- und mittelständischer Unternehmen. Hacker wissen, dass auch Bildungsträger sich eine Unterbrechung ihres Betriebs und vor allem einen Vertrauensverlust in einer sensiblen Öffentlichkeit durch Offenlegen personenbezogener Daten nicht erlauben können. Für ihre Erpressungsgelder können sie also eine grundsätzliche Zahlungsbereitschaft vermuten. Ein Angriffsversuch lohnt sich, zumal Bedrohungsarsenal eh bereitsteht. Zudem sehen Hacker Schwachstellen in der IT durch opportunistische und automatisierte Schwachstellen-Scans. Eine Schule mag für Hacker vielleicht wirtschaftlich nicht sehr interessant sein, eine Universität schon eher.“

Der Bedrohungsgrad ist stark von der Art der Bildungseinrichtung abhängig.

Auch für Ari Albertini, CEO bei FTAPI, greifen viele Hacker Schulen und andere Bildungseinrichtungen nicht zuallererst deshalb an, „weil Schulen auf ihrer Agenda stehen. Sie sind ein weiteres Opfer von Phishing-Emails oder Viren, die aktuell im Umlauf sind.“ Die Attraktivität von Bildungseinrichtungen für die Cyberkriminellen lässt sich aber nicht über einen Kamm scheren, so Albertini weiter: „Der Bedrohungsgrad ist stark von der Art der Bildungseinrichtung abhängig. Meiner Einschätzung nach sind Grundschulen und Gymnasien keine lukrativen Ziele für Cyberkriminelle. Allerdings werden Schulen immer digitaler und öffnen damit neue Angriffsflächen und Einfallstore für Angriffe von außen. Bei Universitäten und Hochschulen verhält es sich dann schon anders: Sie verarbeiten kritische Daten aus der Forschung und Entwicklung, die für Cyberkriminelle unter Umständen sehr lukrativ sein können. Darüber hinaus verfügen Universitäten auch über deutlich mehr Budget. Ähnlich ist die Lage bei Forschungsinstituten: Einrichtungen und Organisationen, die sich etwa mit Künstlicher Intelligenz befassen, versprechen kapitalisierbare Informationen. Außerdem verfügen sie über die finanziellen Mittel und verspüren auch den Druck, um auch ein hohes Lösegeld schnell bezahlen zu können.“ Für Albertini gehen Hacker durchaus auch Branchen gezielt an: „Man darf nicht vergessen, dass hinter jeder Cyberattacke immer noch einiges an Arbeit steckt. Die Cyberkriminellen leisten Vorarbeiten, recherchieren, beobachten und analysieren. Sie eignen sich Wissen über bestimmte Branchen an und nutzen dieses, um die Schwachstellen, die sie dabei finden, bestmöglich auszunutzen.“

Oft reicht als Motivation einfach der Erfolg, das Bloßstellen der Bildungseinrichtung oder die Möglichkeit, sozusagen eine virtuell hingeschmierte Zahnlücke oder einen Schnauzbart auf den Monitoren zu hinterlassen.

Michael Eder von Concept International GmbH, Business Development Manager und Experte für den Bereich Bildung, sieht Bildungseinrichtungen „nicht auf den beliebtesten Plätzen bei Hackerangriffen, weil weniger geschäftskritische Schäden verursacht werden als bei einem multinationalen Konzern“. Dennoch gibt es spezifische Risiken und Motivationen für den direkten Zugriff auf Hardware: „Bildungseinrichtungen sind meist leichte Opfer. Das liegt an einem oft laxen Umgang mit Sicherheitsstandards. Aber auch daran, dass Whiteboards, Konferenzeinrichtungen, Informations- und Kontaktdisplays im öffentlichen oder halböffentlichen Raum direkt zugänglich sind. Nicht jeder Hacker ist zudem auf Geld aus. Oft reicht als Motivation einfach der Erfolg, das Bloßstellen der Bildungseinrichtung oder die Möglichkeit, sozusagen eine virtuell hingeschmierte Zahnlücke oder einen Schnauzbart auf den Monitoren zu hinterlassen.“

Unsere Beobachtungen zu Ransomware-Angriffen auf Unternehmen sehen Forschung und Bildung auf Rang zwei der angegriffenen Branchen, mit einem Anteil von 22 Prozent.

Dass Bildungsinstitutionen beliebte Angriffsziele sind, steht für Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender, außer Frage: Hacker gingen aber nicht branchenfokussiert vor: „Das Aufkommen von Malware-as-a-Service hat den natürlichen Wettbewerb um Ziele zwischen Cyberkriminalitätsgruppen verstärkt. Im Ergebnis ist jede Branche, unabhängig von ihrer Größe, ein wertvolles Ziel für Cyberkriminelle, da sie sich oft auf automatisierte und opportunistische Angriffe verlassen, um ihre Opfer zu finden und sie dann gezielt auszukundschaften sowie zu erpressen. Das Bildungswesen ergab sich daher schon immer als ein beliebtes Ziel für Cyberkriminelle. Massen an persönlichen Daten, die in Untergrundforen ausgetauscht oder verkauft werden können sowie die unmittelbaren und oft sehr einfachen Möglichkeiten zur Nutzung von Ransomware ziehen die Hacker an. Unsere Beobachtungen zu Ransomware-Angriffen auf Unternehmen sehen Forschung und Bildung daher auf Rang zwei der angegriffenen Branchen, mit einem Anteil von 22 Prozent. Davor finden sich nur – wie zu erwarten – die Telekommunikationsdienste, auf die 30 Prozent der Angriffe zielen. Bildung und Forschung sind aber stärker im Fokus der Hacker als Regierungsbehörden (17 Prozent) oder Technologie-Unternehmen (13 Prozent). Und sie leben mehr als viermal so gefährlich wie der Retail-Bereich mit vier Prozent. Bildungseinrichtungen haben eine größere Angriffsfläche, die sich über Endpunkte, Server, BYOD und Cloud-Dienste erstreckt, welche selten zentral verwaltet werden. Kleine IT-Sicherheitsteams, die oft in Abteilungen mit Serviceleistungen eingegliedert sind, werden mit der Verteidigung solch großer Angriffsflächen überfordert. Nicht zuletzt sind die Sicherheitsbudgets klein und lassen nicht allzu viel Spielraum für Verbesserungen oder wenig Möglichkeiten für eine Gegenwehr. Bildungseinrichtungen sind leichte Ziele.“

Schlaglicht IT-Sicherheit in Bildungseinrichtungen 2: Welche besonderen Risiken bestehen bei Schulen, Universitäten oder Forschungsinstituten?

Die Attacken der Cyberkriminellen mögen nicht unbedingt branchenfokussiert sein, die Risiken und Auswirkungen der Angriffe sind aber natürlich branchenspezifisch.

Im Zusammenhang mit Ransomware bereitet die Unterbrechung der Arbeitsabläufe die größte Sorge.

Für Tom Haak von Lywand „lässt sich eine allgemein erhöhte Bedrohungslage festhalten. Sie ist auch für den Bildungsbereich ein ernst zu nehmendes Phänomen. Im Zusammenhang mit Ransomware bereitet gewiss die Unterbrechung der Arbeitsabläufe die größte Sorge. Von Ransomware-Angriffen betroffene Schulen in Österreich mussten mitunter wochenlang einen Betriebsausfall auf Grund ihrer verschlüsselten Arbeitsstationen hinnehmen. Eine Schule traf der Angriff besonders empfindlich, da er sich eine Woche vor den Abiturprüfungen ereignete.“

Ein Mindestmaß an Sicherheit reicht nicht aus, wenn Malware in das lokale System gelangt und sich die Verantwortlichen vor Ort nicht dafür zuständig fühlen, es nicht sein können, oder es diese Zuständigen gar nicht gibt.

Ein Sorgenkind für die Experten ist die unterschiedliche IT-Kompetenz von Bildungseinrichtungen. Für Ari Albertini von FTAPI „steht die Digitalisierung des Bildungsbereiches noch am Anfang, und mit ihr auch die digitale Kompetenz der Mitarbeitenden. Dazu kommt, dass Bildungseinrichtungen häufig teil-autonom agieren. Das bedeutet, dass digitale Angebote häufig zentral gesteuert oder vorgegeben werden – und dann vorausgesetzt wird, dass auch die IT-Sicherheit zentral gesteuert wird. Doch ein solches Mindestmaß an zentraler Sicherheit reicht nicht aus, wenn Malware über kompromittierte E-Mail-Anhänge oder Links direkt in das lokale System gelangt und sich die Verantwortlichen vor Ort nicht dafür zuständig fühlen, es nicht sein können, oder es diese Zuständigen gar nicht gibt. Viele Hackerangriffe finden beispielsweise auch an Feiertagen statt, wenn Angreifende versuchen, Sicherheitslücken auszunutzen, die durch eine dann nicht Dienst habende reduzierte Belegschaft entstehen können. Ein Beispiel aus dem Bildungssektor: Im Jahr 2020 attackierten die Cyberkriminellen während der Weihnachtsfeiertage in den USA mehrere Schulen, darunter die Hartford Public Schools in Connecticut und die Fairfax County Public Schools in Virginia. Sie verschlüsselten die PC-Systeme und stellten Lösegeldforderungen.“

Gelegenheit macht Datendiebe.

Fehlende IT-Sicherheitskompetenz und -ressourcen sind die Hauptachillesferse der Systeme in diesem Bereich. So schafft für Thomas Krause von ForeNova „Gelegenheit Datendiebe. Und diese suchen sich zunächst die Ziele, die am einfachsten zu attackieren sind. Rein technisch ist die IT in einer Schule oder Universität genauso gefährdet wie die eines klein- und mittelständischen Unternehmens. Risiken ergeben sich aus anderen Faktoren. Neben dem Healthcare-Bereich sind Forschung und Bildung die Sektoren, die am stärksten vom Personal- und Geldmittelmangel in der IT betroffen sind. Universitäten und Schulen haben einen Nachholbedarf allein schon in Grundlagen der Digitalisierung. Wieso soll es da um die Lage der IT-Sicherheit besser bestellt sein – wenn IT oft Sache von Sponsoren, Eltern, Lehrern oder auch Institutsmitarbeitern bleibt oder wird, die eigentlich ganz andere Aufgaben haben? Sicher ist ein Grundfundament an IT-Sicherheit vorhanden, welches aber wohl nicht ausreicht. Komplizierte Ausschreibeverfahren führen zu einer gewissen Starre im Bildungsbereich, da neue IT-Technologien nicht einfach ausprobiert werden können, selbst wenn sie nicht immersiv sind und mit anderen Lösungen zusammenarbeiten.“

Schwachstellen in der Internet-Infrastruktur und Default-Passwörter sind zwei der wichtigsten Ursachen für erfolgreiche Angriffe.

IT-strukturelle Risiken und den Faktor Mensch sieht Bogdan Botezatu von Bitdefender als besondere Risikofaktoren: „Schwachstellen in der Internet-Infrastruktur und Default-Passwörter sind zwei der wichtigsten Ursachen für erfolgreiche Angriffe. Oftmals verwenden Bildungseinrichtungen veraltete und daher anfällige Software, die zu einem Einfallstor in die Infrastruktur werden kann. Auch ‚Insider-Bedrohungen‘ sind keine Seltenheit, da Studenten regelmäßig versuchen, die Abwehr etwa von Firewalls aus verschiedenen Gründen zu umgehen. Dazu zählt der illegale Zugriff auf Benotungssysteme oder Prüfungsplattformen. Ein unsicheres Netzwerkdesign, fehlende Zugangskontrollen und die begrenzten IT-Sicherheitskenntnisse der Lehrkräfte können sich negativ auf die Gesamtsicherheit der Einrichtung auswirken.“

Man muss als erstes die Hardware schützen.

Ein besonderes Risiko stellt für Michael Eder von Concept frei zugängliche Hardware dar: „Man muss also als erstes die Hardware schützen. Ganz klassisch gegen Vandalismus und Diebstahl mit stabilen Gehäusen und abschließbaren Halterungen. Aber auch USB-Ports müssen gesichert werden, genauso der Hardware-Zugang über Bluetooth und WLAN. Ungenutzte Ports, wenn nicht dringend benötigt, sollten deaktiviert werden. Softwareseitig lässt sich die Sicherheit durch eingeschränkte Benutzerprofile erhöhen. Mit Hilfe von Anti-Malware, Firewalls und am besten rollenbasierten Zero-Trust-Zugangsregeln sollte der entsprechende Schutz für das Netzwerk, das hinter dem DS-Gerät steht, gewährleistet werden. Ein passwortgeschütztes BIOS, deaktiviertes Autoplay, eine gute Backup-Politik und über TPM verschlüsselte Hardware verstehen sich von selbst. Last but not least, sollte das Netzwerk, in dem sich die Endgeräte befinden, wie Whiteboards und PCs, vom Hauptnetzwerk getrennt werden und in einem Subnet agieren, mit überwachtem Zugriff auf und aus dem Internet.“ News4teachers

Hackerangriffe auf Schulen: Treiben Datenschützer die Bildungseinrichtungen (ungewollt) in die Hände von Cyber-Kriminellen?

 

 

Anzeige


Info bei neuen Kommentaren
Benachrichtige mich bei

1 Kommentar
Älteste
Neuste Oft bewertet
Inline Feedbacks
View all comments
Realist
1 Jahr zuvor

Das Problem heißt “Zentralisierung”. Praktisch alle Vorfälle der letzten Zeit, in denen Schulen betroffen waren, fanden auf Ebene der Schulträger (“Medienzentren”, kommunale Rechenzenten), der Schulbehörden oder deren Dienstleister statt.

Wenn man dann auf dieser Eben Sicherheitsupdates vernachlässigt, veraltete Software benutzt, keine funktionierenden oder regelmäßigen Datensicherungen vorhält oder eine “Monokultur” betreibt (Windows-Server mit AD), dann ist es nur eine Frage der Zeit, bis etwas passiert. Und wenn etwas passiert, reden sich die Zuständigen entweder mit “zu wenig Personal”, “zu wenig Geld”, “zu wenig Zeit” oder damit heraus, dass man ja auf den “Branchenstandard” gesetzt habe und alles anderen es “genauso” machen.

Den Schaden hat aber dann am Ende die einzelne Schule: Keine Entscheidungsbefugnis in dem gesamten Prozess, aber für die Folgen voll verantwortlich. Gezahlt für Ransom-Ware wird bei Schulen ja prinzipiell nicht, man will ja schließlich die Täter nicht ermutigen… den letzten beißen die Hunde, wie immer.