Cyber SecurityWie sicher sind Bildungseinrichtungen?
Nicht nur Unternehmen, Versorgungsbetriebe und Behörden werden immer wieder Ziel von Cyber-Angriffen – auch Bildungsinstitute scheinen zunehmend betroffen. Zumindest die Schlagzeilen legen diesen Befund nahe: So zum Beispiel angesichts eines Angriffs auf sieben Schulen in der Stadt Karlsruhe, das Münchner Helmholtz-Zentrum oder flächendeckende Attacken auf Hochschulen in Nordrhein-Westfalen. Doch erobern sich Hacker wirklich zunehmend Schulen, Universitäten und Forschungseinrichtungen? Und wenn ja: warum? Die meisten Experten sehen Schulen, Universitäten und andere Bildungseinrichtungen nicht als vorrangige, attraktive Ziele für Hacker. Generell suchen Cyber-Kriminelle zunächst nach Schwachstellen und erst dann nach Branchen. Dennoch sehen die Experten durchaus eine gewisse Attraktivität von Bildungsinstitutionen – was nicht nur mit mangelnden IT-Ressourcen zu tun hat.
Unis und Forschung als lohnende Opfer
Nach Einschätzung von Tom Haak, CEO beim IT-Sicherheitsunternehmen Lywand, wissen Hacker meist gar nicht, welche Einrichtungen sie angreifen. Cyber-Kriminelle arbeiten kaum zielgerichtet, sondern operieren nach dem Prinzip der Nutzenmaximierung, indem sie ihre Angriffskampagnen breit und automatisiert ausrollen. Sie suchen nicht gezielt den Weg in bestimmte Branchen, sondern den Weg des geringsten Widerstands. Die IT-Architekturen an Universitäten, Schulen oder Forschungsinstituten sind im gleichen Maße gefährdet wie die IT von kleinen und mittelständischen Unternehmen, meint Thomas Krause, Regional Director DACH beim Cyber-Sicherheitsspezialisten ForeNova. „Hacker wissen, dass sich auch Bildungsträger eine Unterbrechung ihres Betriebs und vor allem einen Vertrauensverlust in einer sensiblen Öffentlichkeit durch Offenlegen personenbezogener Daten nicht erlauben können. Für ihre Erpressungsgelder können sie also eine grundsätzliche Zahlungsbereitschaft vermuten.“ Eine Schule mag für Hacker vielleicht wirtschaftlich nicht sehr interessant sein, eine Universität aber durchaus.
Zu ähnlichen Schlüssen kommt Ari Albertini, CEO beim Datensicherheitsunternehmen FTAPI Software. Schulen erwische es oft aufgrund von Phishing-Mails oder aktueller Cyber-Viren. „Allerdings werden auch Schulen immer digitaler und öffnen damit neue Einfallstore. Anders bei Universitäten und Hochschulen: Sie verarbeiten kritische Daten aus der Forschung und Entwicklung, die für Cyber-Kriminelle sehr lukrativ sein können.“ Zudem verfügen Universitäten auch über mehr Budget. Ähnlich ist die Lage bei Forschungsinstituten: Einrichtungen, die sich etwa mit KI befassen, versprechen kapitalisierbare Informationen, sie verfügen über die finanziellen Mittel und verspüren genügend Druck, um auch ein hohes Lösegeld schnell bezahlen zu können. Für Albertini gehen Hacker durchaus auch Branchen gezielt an: „Die Cyber-Kriminellen eignen sich Wissen über bestimmte Branchen an und nutzen dieses, um gefundene Schwachstellen bestmöglich auszunutzen.“
Bildungseinrichtungen bieten viel Angriffsfläche
Michael Eder, Business Development Manager beim Hardware-Distributor Concept International, der auch im Bildungsbereich tätig ist, sieht Bildungseinrichtungen „nicht auf den beliebtesten Plätzen bei Hackerangriffen, weil weniger geschäftskritische Schäden verursacht werden als bei einem multinationalen Konzern“. Dennoch gebe es spezifische Risiken und Motivationen für den direkten Zugriff auf Hardware. Das liege einerseits an einem oft laxen Umgang mit Sicherheitsstandards, aber auch daran, dass Whiteboards, Konferenzeinrichtungen, Informations- und Kontaktdisplays im öffentlichen oder halböffentlichen Raum direkt zugänglich sind. Zudem sei nicht jeder Hacker auf Geld aus – oft reiche als Motivation der Erfolg.
Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender erkennt Konkurrenzmechanismen unter Hackern als einen Grund für zunehmende Angriffe auf Bildungsinstitutionen. „Das Aufkommen von Malware-as-a-Service hat den natürlichen Wettbewerb um Ziele zwischen Cyber-Kriminalitätsgruppen verstärkt.“ Jede Branche, unabhängig von ihrer Größe, sei ein wertvolles Ziel für Cyber-Kriminelle. Sein Unternehmen sehe Forschung und Bildung daher auf Rang zwei der angegriffenen Branchen, mit einem Anteil von 22 Prozent, so Botezatu. Bildung und Forschung seien stärker im Fokus der Hacker als Regierungsbehörden (17 Prozent) oder Technologie-Unternehmen (13 Prozent). Und sie leben über viermal so gefährlich wie der Retail-Bereich (4 Prozent). Bildungseinrichtungen haben zudem eine größere Angriffsfläche, die sich über Endpunkte, Server, BYOD und Cloud-Dienste erstreckt, die selten zentral verwaltet werden. „Kleine IT-Sicherheitsteams, die oft in Abteilungen mit Serviceleistungen eingegliedert sind, werden mit der Verteidigung solch großer Angriffsflächen überfordert. Nicht zuletzt sind die Sicherheitsbudgets klein und lassen nicht allzu viel Spielraum für Verbesserungen oder wenig Möglichkeiten für eine Gegenwehr.“
Gelegenheit macht (Daten)diebe
Auch wenn strittig ist, ob Hacker sich ihre Opfer gezielt suchen oder nicht – die Gefährdung nimmt zu. Für Tom Haak von Lywand „lässt sich eine allgemein erhöhte Bedrohungslage festhalten. Sie ist auch für den Bildungsbereich ein ernst zu nehmendes Phänomen“. So ist die unterschiedliche IT-Kompetenz von Bildungseinrichtungen ein Sorgenkind für die Experten. Für Ari Albertini von FTAPI steht die Digitalisierung des Bildungsbereiches noch am Anfang – und mit ihr die digitale Kompetenz der Mitarbeitenden. Hinzu kommt, dass digitale Angebote häufig zentral gesteuert oder vorgegeben werden – und dann vorausgesetzt wird, dass auch die IT-Sicherheit zentral gesteuert wird. Doch ein solches Mindestmaß an zentraler Sicherheit reicht nicht aus, wenn Malware über kompromittierte E-Mail-Anhänge oder Links direkt in das lokale System gelangt und sich die Verantwortlichen vor Ort dafür nicht zuständig fühlen, es nicht sein können oder es diese Zuständigen gar nicht gibt.
Fehlende IT-Sicherheitskompetenz und -ressourcen sind die Achillesferse der Systeme in diesem Bereich. Neben dem Healthcare-Bereich sind Forschung und Bildung die Sektoren, die am stärksten vom Personal- und Geldmangel in der IT betroffen sind, stellt Thomas Krause vom Cyber-Sicherheitsunternehmen ForeNova fest. „Universitäten und Schulen haben allein schon bei Grundlagen der Digitalisierung Nachholbedarf. Wie soll es da um die Lage der IT-Sicherheit besser bestellt sein?“ Hinzu komme, dass komplizierte Ausschreibeverfahren „zu einer gewissen Starre im Bildungsbereich führen, da neue Technologien nicht einfach ausprobiert werden können, selbst wenn sie nicht immersiv sind und mit anderen Lösungen zusammenarbeiten“.
BSI: Bericht zur Lage der IT-Sicherheit
[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...
LivEye: Sicherheitsüberwachung auf Weihnachtsmärkten
[08.11.2024] Für die Sicherheitsüberwachung auf Weihnachtsmärkten hat das Unternehmen LivEye ein neues Konzept entwickelt, das Datenschutz und effektive Gefahrenabwehr kombiniert. mehr...
Hessen: Höhere Cybersicherheit
[05.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
SIT: Ein Jahr nach dem Ransomware-Angriff
[04.11.2024] Ein Jahr nach der Cyberattacke auf die Südwestfalen-IT haben die Mitarbeitenden gemeinsam mit den IT-Teams betroffener Kommunen die Systeme wiederhergestellt. Um künftig besser gegen Cyberbedrohungen geschützt zu sein, fordert Geschäftsführer Mirco Pinske klarere gesetzliche Regelungen – etwa die Berücksichtigung kommunaler IT-Dienstleister in der NIS2-Richtlinie. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[04.11.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt SicherKommunal. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
Lösungen: Cybersicherheit stärken
[13.09.2024] Die NIS2-Richtlinie bietet die Chance, die IT-Sicherheit auf ein deutlich höheres Level zu heben, ist aber auch mit Herausforderungen verbunden. Kommunen benötigen zudem Lösungen, die speziellen IT-Sicherheitsanforderungen genügen. mehr...
BSI: IT-Sicherheitskennzeichen für Zoom
[11.09.2024] Für zwei seiner Produkte hat der vielfach genutzte Videokonferenzdienst Zoom das IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Geprüft wurden unter anderem der Accountschutz, Rechenzentrumsbetrieb und das Update- und Schwachstellenmanagement. mehr...
IT-Sicherheit: Feuerwehr und Firewall
[02.09.2024] Cyberattacken treffen immer öfter auch Verwaltungen. Um kommunale IT besser abzusichern, fordert Vitako eine Reihe von Maßnahmen: eine stärkere Vernetzung, mehr Mittel, den Ausbau des BSI zur Zentralstelle und die Schaffung eines regulativen Rahmens. mehr...
Schwandorf: Siegel für IT-Sicherheit
[29.08.2024] Die Stadt Schwandorf hat vom bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) jetzt das Siegel „Kommunale IT-Sicherheit“ erhalten. mehr...
Interview: Wertvolle Lehren gezogen
[14.08.2024] Nach dem umfassenden Cyberangriff arbeitet der IT-Dienstleister Südwestfalen-IT an einer strategischen Neuausrichtung. Im Kommune21-Interview berichtet Geschäftsführer Mirco Pinske, wie die Aufarbeitung vorangeht und welche Konsequenzen bereits gezogen wurden mehr...
München: Hauptabteilung für IT-Sicherheit
[02.08.2024] Die bayerische Landeshauptstadt München misst der IT-Sicherheit einen hohen Stellenwert bei. Um dies zu verdeutlichen, wurde im IT-Referat jetzt eine neue Hauptabteilung für Cybersecurity gegründet. Geleitet wird sie von Chief Information Security Officer Thomas Reeg. mehr...
ITEBO: OpenR@thaus-Vorfall aufgearbeitet
[23.07.2024] Mit seinem Verwaltungsportal OpenR@thaus liefert ITEBO zahlreichen Kommunen eine Basisinfrastruktur, um Leistungen, wie vom OZG vorgesehen, digital anbieten zu können. Im Juni war die Lösung aus Sicherheitsgründen offline gestellt worden. Nun berichtet ITEBO im Detail über den Vorfall und dessen Aufarbeitung. mehr...
Crowdstrike-Panne: Geringe Störungen bei Kommunalverwaltungen
[22.07.2024] Das Update des Sicherheitsdienstleisters Crowdstrike, das am Freitag globale IT-Ausfälle auslöste, hat auch dazu geführt, dass der kommunale IT-Dienstleister SIT seine Systeme sicherheitshalber abgeschaltet hat. Die Auswirkungen auf Kommunen waren aber lediglich geringfügig. mehr...
Interview: Angriffe wird es immer geben
[10.07.2024] Öffentliche Einrichtungen rücken zunehmend in den Fokus von Cyber-Kriminellen und staatlich gelenkten Hackern. Kommune21 sprach mit regio-iT-Geschäftsführer Stefan Wolf, wie Städte und Gemeinden den Gefahren begegnen können. mehr...
OpenR@thaus: Serviceportal nicht erreichbar
[02.07.2024] Wegen einer Sicherheitslücke wurde das Serviceportal OpenR@thaus zum zweiten Mal in kurzer Zeit vom Netz genommen. Davon betroffen sind rund 300 Kommunen. Die Wartungsarbeiten dauern derzeit an. Offenbar besteht ein Zusammenhang zu einer Schwachstelle der BundID, die es erlaubt, relativ einfach auf einer eigenen Website ein BundID-Log-in umzusetzen. mehr...