Cybersicherheitsstrategie
Der sicherere Weg zur digitalen Schule
Trotz der Bemühungen vieler geht die Digitalisierung an deutschen Schulen sehr langsam voran und der Schutz digitaler Lernressourcen stellt für viele Bildungseinrichtungen eine große Herausforderung dar. Doch es gibt Möglichkeiten, den Weg zur digitalen Schule sicherer zu gestalten.
Bildungseinrichtungen – besonders Privatschulen, Universitäten und Forschungsinstitute – sind bevorzugte Ziele für Cyberangriffe. Dies belegen zahlreiche erfolgte Angriffe, wie beispielsweise der auf die Fachhochschule in Münster, auf die Berliner Hochschule für Technik und Wirtschaft oder der Angriff auf Lernportale wie letztes Jahr in Thüringen geschehen. Erst kürzlich wurde die Uni Neuenburg Opfer einer Attacke, die Uni hat es damit bereits das zweite Mal getroffen. Auch die Industrie- und Handelskammer (IHK), die mit zu den größten Bildungseinrichtungen des Landes gehört, zeigt wie weitreichend die Folgen sein können – zwei Monate nach dem Angriff sind die Systeme noch nicht alle zu 100 Prozent wieder hergestellt. Die Zeichen und Umstände deuten auf Spionage oder Sabotage hin.
Besonders attraktiv für Cyberkriminelle sind vor allem die wertvollen und sensiblen Daten von Lehrkräften, Schülern oder ihrer Eltern, die über Bildungseinrichtungen fließen. Und auch wenn Spionage auf dem ersten Blick eine eher eine weniger offensichtliche Bedrohung für den Sektor darstellt, können Ransomware-Angriffe, die zum Diebstahl ebenjener Daten führen, oder das Abfangen von Zahlungen äußerst lukrativ sein. Die IT-Verantwortlichen im Bildungswesen stehen oftmals unter großem Druck, schließlich wird in der Regel versucht mit möglichst wenig Ressourcen möglichst viel zu erreichen. Hinzukommt eine allgemeine Überforderung, besonders mit den durch die für Unterstützungsdienste bereitgestellten Budgets. In erster Linie scheitern die Bildungseinrichtungen meist an der ersten Hürde einer sicheren IT-Infrastruktur – was es für Cyberkriminelle umso einfacher macht, sich Zugang zu verschaffen. Die Systeme sind oftmals veraltet und die Budgets diese zu pflegen, zu ersetzen und zu schützen begrenzt.
| Kinder wachsen heute schon als Digital Natives auf, viele Technologien sind ein fester Bestandteil des täglichen Lebens – deshalb kommt es darauf an, dass auch das digitale Lernen zur Selbstverständlichkeit wird. |
|---|
Wie eine durch die Gewerkschaft Erziehung und Wissenschaft (GEW) geförderte Studie der Universität Göttingen aus dem Jahr 20211 zeigt, haben Lehrende nur in 70 Prozent aller Schulen überhaupt einen WLAN-Zugang. Für die SchülerInnen steht erst in rund der Hälfte der Schulen WLAN zur Verfügung. Auch geben nur 57 Prozent der Lehrkräfte an, dass an ihrer Schule genügend digitale Geräte für den Unterricht vorhanden sind. Um das zu ändern, unterstützen Bund und Länder seit 2019 Schulen, die nicht über die nötigen finanziellen Mittel für technische Ausstattung verfügen, mit dem Förderprogramm DigitalPakt Schule. Insgesamt stehen 7,15 Milliarden Euro an Fördergeldern zur Verfügung, um zum Beispiel alle Klassenzimmer ans Internet anzubinden.
Aspekte für eine Cybersicherheitsstrategie
Im Folgenden einige Aspekte bewährter Verfahren, die Schulen und Bildungseinrichtungen bei ihrer Cybersicherheitsstrategie berücksichtigen sollten:
„Bring Your Own Device“ – Absicherung von persönlichen Geräten
Auch im Bildungssektor werden immer mehr persönliche Geräte mit dem Schul- oder Universitätsnetz verbunden, was dem IT-Administrator eine komplexere Sicherheitslandschaft verschafft, die es zu verwalten und zu schützen gilt. Es ist daher wenig überraschend, dass vor allem die Aufklärung und Sensibilisierung von Lehrern und Schülern ganz oben auf der Prioritätenliste stehen sollte. Darunter fällt auch, dass alle Systemnutzer dazu angehalten werden, die Anwendungen auf dem neuesten Stand zu halten und Updates und Patches zu installieren, um etwaige Sicherheitsrisiken zu minimieren. Darüber hinaus wird empfohlen, dass Lehrer und Schüler eine Firewall, ein Antivirenprogramm und einen Browser verwenden, für den ebenfalls regelmäßig neue Sicherheitsupdates verfügbar sind.
Sichere Netzwerk-Konfiguration und Rechteverwaltung
Wie ein Unternehmen oder eine Behörde stehen auch Schulen in der Verantwortung, ihre technische Infrastruktur ausreichend abzusichern. In Organisationen und Einrichtungen, in denen regelmäßig sensible Daten zwischen verschiedenen Abteilungen ausgetauscht werden, gibt es eine Vielzahl von möglichen Schwachstellen, die ein Risiko darstellen. Im Allgemeinen hilft es den Schulen, den Aufbau und die Sicherheit der schuleigenen IT-Infrastruktur in die Hände von externen Experten zu legen. Diese konzentrieren sich nicht nur ausschließlich auf diese Aufgabe, sondern sind auch mit den neuesten Entwicklungen und Lösungen vertraut.
Es kommt auch darauf an, die Administratorenrechte für die schulische IT-Infrastruktur im Detail zu regeln und Zugriffe zu protokollieren – und damit dem „Zero Trust“-Prinzip zu folgen, das zunächst von keinerlei Zugriffsrechten ausgeht und jedem Standort und jedem von externen Mitarbeitern verwendeten Gerät standardmäßig Zero Trust, also null Vertrauen entgegenbringt. Vertrauen und Zugang werden über spezifische Berechtigungen aufgebaut, durch bestimmte Interaktionen steigt oder fällt der Vertrauenswert, was sich wiederum auf Zugriffsbereiche des Nutzers auswirkt. Durch diese Einschränkungen der Rechte und Zugriffbereiche wird der Aktionsradius von Cyberkriminellen, denen es gelingt, mit gestohlenen Anmeldedaten in ein System einzudringen, klein gehalten. Die genaue Regelung der Zugriffsrechte, kombiniert mit Multi-Faktor-Authentifizierungsverfahren, trägt im Idealfall wesentlich dazu bei, dass erfolgreiche Angriffe gar nicht erst stattfinden.
Regelmäßige Back-ups
Auf Schulservern aber auch auf den digitalen Geräten von Lehrkräften liegen viele, teils sehr sensible Daten. Schulen müssen diese optimal schützen und verhindern, dass Hacker die Daten beispielsweise durch einen Ransomware-Angriff verschlüsseln und damit ein Druckmittel in die Hand bekommen. Aber die Daten gehen potenziell auch durch Diebstahl oder einen Gerätedefekt verloren. Regelmäßige Sicherungskopien sind deshalb ein Muss, die idealerweise nach der 3-2-1-Regel entstehen. Das bedeutet, dass die Betroffenen drei Kopien auf mindestens zwei unterschiedlichen Arten von Speichermedien und eine davon als externes Back-up anlegen.
Dem Prevention First-Grundsatz folgen
Bei der Planung und Umsetzung ihrer individuellen Digitalstrategie müssen Schulen beachten, dass in puncto Cyberhygiene ein Paradigmenwechsel ansteht. Angriffe zu erkennen und dann zu reagieren, gehört in die Vergangenheit. „Vorsicht ist besser als Nachsicht“ gilt nun für die Zukunft der Cybersicherheit. Es geht darum, den Schadensfall zu vermeiden, bevor er überhaupt eintritt. Für Schulen, wie auch Unternehmen und andere Institutionen, sollte die Prävention also oberste Priorität bei ihren Digitalisierungsmaßnahmen haben. Mit ihr als Grundsatz entwickeln sie eine effektive Cyberhygiene. Generell gilt: Wenn Schulen ihre Cybersicherheitsmaßnahmen überdenken und grundlegende Maßnahmen durchführen, trägt dies maßgeblich zu einem sicheren digitalen Klassenzimmer bei, an dem die gesamte Schülerschaft Freude hat. Dabei um Unterstützung von Fachleuten zu bitten, führt einfacher und schneller zum Erfolg. Wenn es gelingt, die Sicherung digitaler Lernressourcen erfolgreich zu bewältigen, schaffen Schulen die Basis, alle Schüler ideal für den digitalen Lebens- und Arbeitsalltag zu rüsten.
1 https://kooperationsstelle.uni-goettingen.de/projekte/digitalisierung-im-schulsystem-2021
Das könnte Sie auch interessieren
Lancom präsentiert UF-760
High-End-Firewall für Unternehmen und Schulen
Microsoft- vs. Open-Source-Software
Schulen in Rheinland-Pfalz dürfen Teams nicht mehr…
Von Breitband bis Fachkräfte
5 Gründe, warum die Digitalisierung von Schulen…
