Experteneinschätzungen: Sind Bildungseinrichtungen besonders attraktive Ziele für Hacker?
Hacker in der Schule?
Fortsetzung des Artikels von Teil 1
Meist leichte Opfer
Dennoch gebe es spezifische Risiken und Motivationen für den direkten Zugriff auf Hardware: „Bildungseinrichtungen sind meist leichte Opfer. Das liegt an einem oft laxen Umgang mit Sicherheitsstandards. Aber auch daran, dass Whiteboards, Konferenzeinrichtungen, Informations- und Kontaktdisplays im öffentlichen oder halböffentlichen Raum direkt zugänglich sind. Nicht jeder Hacker ist zudem auf Geld aus. Oft reicht als Motivation einfach der Erfolg, das Bloßstellen der Bildungseinrichtung oder die Möglichkeit, sozusagen eine virtuell hingeschmierte Zahnlücke oder einen Schnauzbart auf den Monitoren zu hinterlassen.“
Unsere Beobachtungen zu Ransomware-Angriffen auf Unternehmen sehen Forschung und Bildung auf Rang zwei der angegriffenen Branchen, mit einem Anteil von 22 Prozent.
Dass Bildungsinstitutionen beliebte Angriffsziele sind, steht für Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender, außer Frage: Hacker gingen aber nicht branchenfokussiert vor: „Das Aufkommen von Malware-as-a-Service hat den natürlichen Wettbewerb um Ziele zwischen Cyberkriminalitätsgruppen verstärkt. Im Ergebnis ist jede Branche, unabhängig von ihrer Größe, ein wertvolles Ziel für Cyberkriminelle, da sie sich oft auf automatisierte und opportunistische Angriffe verlassen, um ihre Opfer zu finden und sie dann gezielt auszukundschaften sowie zu erpressen.“
Das Bildungswesen ergab sich daher schon immer als ein beliebtes Ziel für Cyberkriminelle. Massen an persönlichen Daten, die in Untergrundforen ausgetauscht oder verkauft werden können sowie die unmittelbaren und oft sehr einfachen Möglichkeiten zur Nutzung von Ransomware ziehen die Hacker an. Unsere Beobachtungen zu Ransomware-Angriffen auf Unternehmen sehen Forschung und Bildung daher auf Rang zwei der angegriffenen Branchen, mit einem Anteil von 22 Prozent, so Botezatu. Davor finden sich nur – wie zu erwarten – die Telekommunikationsdienste, auf die 30 Prozent der Angriffe zielen. Bildung und Forschung sind aber stärker im Fokus der Hacker als Regierungsbehörden (17 Prozent) oder Technologie-Unternehmen (13 Prozent). Und sie leben mehr als viermal so gefährlich wie der Retail-Bereich mit vier Prozent. Bildungseinrichtungen haben eine größere Angriffsfläche, die sich über Endpunkte, Server, BYOD und Cloud-Dienste erstreckt, welche selten zentral verwaltet werden. Kleine IT-Sicherheitsteams, die oft in Abteilungen mit Serviceleistungen eingegliedert sind, werden mit der Verteidigung solch großer Angriffsflächen überfordert.
Nicht zuletzt sind die Sicherheitsbudgets klein und lassen nicht allzu viel Spielraum für Verbesserungen oder wenig Möglichkeiten für eine Gegenwehr. Bildungseinrichtungen sind leichte Ziele.
Auch die Frage, welche besonderen Risiken bei Schulen, Universitäten oder Forschungsinstituten bestehen, beschäftigt die Security-Forscher. Die Attacken der Cyberkriminellen mögen nicht unbedingt branchenfokussiert sein, die Risiken und Auswirkungen der Angriffe sind jedoch natürlich branchenspezifisch.
Für Tom Haak von Lywand „lässt sich eine allgemein erhöhte Bedrohungslage festhalten. Sie ist auch für den Bildungsbereich ein ernst zu nehmendes Phänomen. Im Zusammenhang mit Ransomware bereitet gewiss die Unterbrechung der Arbeitsabläufe die größte Sorge. Von Ransomware-Angriffen betroffene Schulen in Österreich mussten mitunter wochenlang einen Betriebsausfall auf Grund ihrer verschlüsselten Arbeitsstationen hinnehmen. Eine Schule traf der Angriff besonders empfindlich, da er sich eine Woche vor den Abiturprüfungen ereignete.“
Ein Mindestmaß an Sicherheit reicht bekanntlich nicht aus, wenn Malware in das lokale System gelangt und sich die Verantwortlichen vor Ort nicht dafür zuständig fühlen, es nicht sein können, oder es diese Zuständigen gar nicht gibt. Ein Sorgenkind für die Experten ist die unterschiedliche IT-Kompetenz von Bildungseinrichtungen. Für Ari Albertini von FTAPI „steht die Digitalisierung des Bildungsbereiches noch am Anfang, und mit ihr auch die digitale Kompetenz der Mitarbeitenden.“
Hinzu komme, dass Bildungseinrichtungen häufig teil-autonom agieren. Das bedeutet, dass digitale Angebote häufig zentral gesteuert oder vorgegeben werden – und dann vorausgesetzt wird, dass auch die IT-Sicherheit zentral gesteuert wird. Doch ein solches Mindestmaß an zentraler Sicherheit reicht nicht aus, wenn Malware über kompromittierte E-Mail-Anhänge oder Links direkt in das lokale System gelangt und sich die Verantwortlichen vor Ort nicht dafür zuständig fühlen, es nicht sein können, oder es diese Zuständigen gar nicht gibt.
- Hacker in der Schule?
- Meist leichte Opfer
- Gelegenheit macht Diebe
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
