Hacker-Angriffe auf Schulen – ein Versehen?
Immer wieder tauchen Berichte über Cyberangriffe auf Bildungseinrichtungen auf, was den Eindruck erweckt, dass diese vermehrt ins Visier von Kriminellen geraten. Doch wie sieht die Realität aus? Um dieser Frage auf den Grund zu gehen, haben fünf IT-Sicherheitsexperten von Bitdefender, Concept International, Forenova, FTAPI und Lywand Security ihre Einschätzungen zur aktuellen Risikolage im Bildungssektor abgegeben.
Es scheint vermehrt zu Berichten über Cyberangriffe auf Bildungsinstitute zu kommen, wie etwa den Angriff auf sieben Schulen in Karlsruhe, das Helmholtz-Zentrum in München und flächendeckende Attacken auf Hochschulen in Nordrhein-Westfalen. Schulen, Universitäten und Forschungseinrichtungen gehören zu den zahlreichen öffentlichen Bereichen, die verstärkt ins Visier von Hackern geraten. Doch ist diese Wahrnehmung auch tatsächlich der Realität entsprechend?
Schulen, Universitäten und Institute verstärkt im Visier von Angriffen?
Laut Experten sind Schulen, Universitäten und Bildungseinrichtungen nicht die primären Ziele von Hackern, da diese in der Regel nach Schwachstellen suchen und nicht nach Branchen. Für Tom Haak etwa, den CEO von Lywand, „wissen Hacker meist gar nicht, welche Einrichtungen sie angreifen. Allein in Österreich ist uns eine Reihe von Bildungseinrichtungen bekannt, die in den letzten Wochen und Monaten Opfer eines Ransomware-Angriffs geworden sind. Dies ist der aktuellen Vorgehensweise von Cyberkriminellen geschuldet. Sie arbeiten kaum zielgerichtet, sondern operieren nach dem Prinzip der Nutzenmaximierung, indem sie ihre Angriffskampagnen breit und automatisiert ausrollen.“
Allerdings gibt es eine gewisse Attraktivität von Bildungseinrichtungen, da sie oft über sensible Daten verfügen und für Hacker ein lukratives Ziel darstellen können. „IT-Architekturen an Universitäten, Schulen oder Forschungsinstituten sind im gleichen Maße gefährdet wie die IT anderer klein- und mittelständischer Unternehmen. Hacker wissen, dass auch Bildungsträger sich eine Unterbrechung ihres Betriebs und vor allem einen Vertrauensverlust in einer sensiblen Öffentlichkeit durch Offenlegen personenbezogener Daten nicht erlauben können. Für ihre Erpressungsgelder können sie also eine grundsätzliche Zahlungsbereitschaft vermuten“, so Thomas Krause, Regional Director DACH bei ForeNova. Ein Angriffsversuch lohnt sich besonders, da Bedrohungsarsenale bereits bereitstehen und Schwachstellen in der IT durch opportunistische und automatisierte Schwachstellen-Scans leicht zu finden sind.
Für Ari Albertini, CEO bei FTAPI, hängt der Bedrohungsgrad jedoch stark von der Art der Bildungseinrichtung ab: „Die Attraktivität von Bildungseinrichtungen für die Cyberkriminellen lässt sich nicht über einen Kamm scheren. Der Bedrohungsgrad ist stark von der Art der Bildungseinrichtung abhängig. Meiner Einschätzung nach sind Grundschulen und Gymnasien keine lukrativen Ziele für Cyberkriminelle. Allerdings werden Schulen immer digitaler und öffnen damit neue Angriffsflächen und Einfallstore für Angriffe von außen. Bei Universitäten und Hochschulen verhält es sich dann schon anders: Sie verarbeiten kritische Daten aus der Forschung und Entwicklung, die für Cyberkriminelle unter Umständen sehr lukrativ sein können. Darüber hinaus verfügen Universitäten auch über deutlich mehr Budget.“
Trotzdem gibt es auch gezielte Angriffe auf bestimmte Branchen, bei denen Hacker Vorarbeiten leisten und Wissen über Schwachstellen und Branchen nutzen, um diese bestmöglich auszunutzen. So sieht Michael Eder von Concept International GmbH, Business Development Manager und Experte für den Bereich Bildung, Bildungseinrichtungen als meist leichte Opfer: „Das liegt an einem oft laxen Umgang mit Sicherheitsstandards. Aber auch daran, dass Whiteboards, Konferenzeinrichtungen, Informations- und Kontaktdisplays im öffentlichen oder halböffentlichen Raum direkt zugänglich sind. Nicht jeder Hacker ist zudem auf Geld aus. Oft reicht als Motivation einfach der Erfolg, das Bloßstellen der Bildungseinrichtung oder die Möglichkeit, sozusagen eine virtuell hingeschmierte Zahnlücke oder einen Schnauzbart auf den Monitoren zu hinterlassen.“
Welche besonderen Risiken bei Schulen, Universitäten oder Forschungsinstituten bestehen
Laut den Experten gibt es besondere Risiken für Schulen, Universitäten und Forschungsinstitute in Bezug auf Cyberangriffe. Eine erhöhte Bedrohungslage besteht aufgrund von Ransomware, die zu einem Betriebsausfall führen kann. Die unterschiedliche IT-Kompetenz der Bildungseinrichtungen ist ein weiteres Problem, da es oft keine zentrale IT-Sicherheitssteuerung gibt und Mitarbeiter möglicherweise nicht für die Sicherheit verantwortlich sind oder sich nicht dafür zuständig fühlen. Datendiebstahl könne auch durch mangelnde IT-Sicherheitskompetenz und -ressourcen begünstigt werden.
Für Bogdan Botezatu von Bitdefender sind IT-Mängel und Nachlässigkeiten bei der Passwort-Vergabe zwei wichtige Ursachen für gelungene Angriffe: „Schwachstellen in der Internet-Infrastruktur und Default-Passwörter sind zwei der wichtigsten Ursachen für erfolgreiche Angriffe.“ Botezatu weiter: „Oftmals verwenden Bildungseinrichtungen veraltete und daher anfällige Software, die zu einem Einfallstor in die Infrastruktur werden kann. Auch ‚Insider-Bedrohungen‘ sind keine Seltenheit, da Studenten regelmäßig versuchen, die Abwehr etwa von Firewalls aus verschiedenen Gründen zu umgehen. Dazu zählt der illegale Zugriff auf Benotungssysteme oder Prüfungsplattformen. Ein unsicheres Netzwerkdesign, fehlende Zugangskontrollen und die begrenzten IT-Sicherheitskenntnisse der Lehrkräfte können sich negativ auf die Gesamtsicherheit der Einrichtung auswirken.“ Die Experten betonen, dass das Schützen der Hardware an erster Stelle stehen sollte.
Tom Haak, CEO von Lywand