Gehen Hacker gern zur Schule?
Experteneinschätzungen zur Frage, ob und weshalb Bildungseinrichtungen besonders attraktive Ziele für Hacker sind.
Bildungsinstitute stehen zunehmend unter Beschuss durch Cyberkriminelle. Dieser Befund scheint sich zumindest aus den Schlagzeilen aufzudrängen: So zum Beispiel angesichts eines Angriffs auf sieben Schulen in der Stadt Karlsruhe, das Münchener Helmholtz-Zentrum oder flächendeckende Attacken auf Hochschulen in Nordrhein-Westfalen. Schulen, Universitäten und Forschungseinrichtungen sind einer der zahlreichen öffentlichen Bereiche – neben Krankenhäusern, Versorgungsbetrieben oder Behörden – die sich die Hacker zunehmend zu erobern scheinen. Doch ist dies auch so? Und wenn ja: Warum?
Schlaglicht IT-Sicherheit in Bildungseinrichtungen
1: Sind Schulen, Universitäten und Institute verstärkt im Visier von Angriffen?
In der Hauptsache sind für die meisten Experten Schulen, Universitäten und andere Bildungseinrichtungen nicht vorrangige und besonders attraktive Ziele für Hacker. Generell suchen Cyberkriminelle zunächst nach Schwachstellen und erst dann nach Branchen. Dennoch sehen die Experten durchaus eine gewisse Attraktivität von Bildungsinstitutionen – was nicht nur mit mangelnden IT-Ressourcen zu tun hat.
»Hacker wissen meist gar nicht, welche Einrichtung sie angreifen.«
Für Tom Haak, den CEO von Lywand, »wissen Hacker meist gar nicht, welche Einrichtungen sie angreifen. Allein in Österreich ist uns eine Reihe von Bildungseinrichtungen bekannt, die in den letzten Wochen und Monaten Opfer eines Ransomware-Angriffs geworden sind. Dies ist der aktuellen Vorgehensweise von Cyberkriminellen geschuldet. Sie arbeiten kaum zielgerichtet, sondern operieren nach dem Prinzip der Nutzenmaximierung, indem sie ihre Angriffskampagnen breit und automatisiert ausrollen. Entsprechend suchen sie nicht gezielt den Weg in bestimmte Branchen, sondern lediglich den Weg des geringsten Widerstands. Für Hacker ist es nachrangig, wen sie angreifen aber ungleich bedeutender, einen Weg in fremde Infrastrukturen zu finden.«
www.lywand.com
»IT-Architekturen an Universitäten, Schulen oder Forschungsinstituten sind im gleichen Maße gefährdet wie die IT anderer klein- und mittelständischer Unternehmen.«
Zu einem ähnlichen Urteil kommt Thomas Krause, Regional Director DACH bei ForeNova: »IT-Architekturen an Universitäten, Schulen oder Forschungsinstituten sind im gleichen Maße gefährdet wie die IT anderer klein- und mittelständischer Unternehmen. Hacker wissen, dass auch Bildungsträger sich eine Unterbrechung ihres Betriebs und vor allem einen Vertrauensverlust in einer sensiblen Öffentlichkeit durch Offenlegen personenbezogener Daten nicht erlauben können. Für ihre Erpressungsgelder können sie also eine grundsätzliche Zahlungsbereitschaft vermuten. Ein Angriffsversuch lohnt sich, zumal Bedrohungsarsenal eh bereitsteht. Zudem sehen Hacker Schwachstellen in der IT durch opportunistische und automatisierte Schwachstellen-Scans. Eine Schule mag für Hacker vielleicht wirtschaftlich nicht sehr interessant sein, eine Universität schon eher.«
www.forenova.com/
»Der Bedrohungsgrad ist stark von der Art der Bildungseinrichtung abhängig.«
Auch für Ari Albertini, CEO bei FTAPI, greifen viele Hacker Schulen und andere Bildungseinrichtungen nicht zuallererst deshalb an, »weil Schulen auf ihrer Agenda stehen. Sie sind ein weiteres Opfer von Phishing-Emails oder Viren, die aktuell im Umlauf sind.« Die Attraktivität von Bildungseinrichtungen für die Cyberkriminellen lässt sich aber nicht über einen Kamm scheren, so Albertini weiter: »Der Bedrohungsgrad ist stark von der Art der Bildungseinrichtung abhängig. Meiner Einschätzung nach sind Grundschulen und Gymnasien keine lukrativen Ziele für Cyberkriminelle. Allerdings werden Schulen immer digitaler und öffnen damit neue Angriffsflächen und Einfallstore für Angriffe von außen.
Bei Universitäten und Hochschulen verhält es sich dann schon anders: Sie verarbeiten kritische Daten aus der Forschung und Entwicklung, die für Cyberkriminelle unter Umständen sehr lukrativ sein können. Darüber hinaus verfügen Universitäten auch über deutlich mehr Budget. Ähnlich ist die Lage bei Forschungsinstituten: Einrichtungen und Organisationen, die sich etwa mit Künstlicher Intelligenz befassen, versprechen kapitalisierbare Informationen. Außerdem verfügen sie über die finanziellen Mittel und verspüren auch den Druck, um auch ein hohes Lösegeld schnell bezahlen zu können.« Für Albertini gehen Hacker durchaus auch Branchen gezielt an: »Man darf nicht vergessen, dass hinter jeder Cyberattacke immer noch einiges an Arbeit steckt. Die Cyberkriminellen leisten Vorarbeiten, recherchieren, beobachten und analysieren. Sie eignen sich Wissen über bestimmte Branchen an und nutzen dieses, um die Schwachstellen, die sie dabei finden, bestmöglich auszunutzen.«
www.ftapi.com
»Oft reicht als Motivation einfach der Erfolg, das Bloßstellen der Bildungseinrichtung oder die Möglichkeit, sozusagen eine virtuell hingeschmierte Zahnlücke oder einen Schnauzbart auf den Monitoren zu hinterlassen.«
Michael Eder von Concept International GmbH, Business Development Manager und Experte für den Bereich Bildung, sieht Bildungseinrichtungen »nicht auf den beliebtesten Plätzen bei Hackerangriffen, weil weniger geschäftskritische Schäden verursacht werden als bei einem multinationalen Konzern«. Dennoch gibt es spezifische Risiken und Motivationen für den direkten Zugriff auf Hardware: »Bildungseinrichtungen sind meist leichte Opfer. Das liegt an einem oft laxen Umgang mit Sicherheitsstandards. Aber auch daran, dass Whiteboards, Konferenzeinrichtungen, Informations- und Kontaktdisplays im öffentlichen oder halböffentlichen Raum direkt zugänglich sind. Nicht jeder Hacker ist zudem auf Geld aus. Oft reicht als Motivation einfach der Erfolg, das Bloßstellen der Bildungseinrichtung oder die Möglichkeit, sozusagen eine virtuell hingeschmierte Zahnlücke oder einen Schnauzbart auf den Monitoren zu hinterlassen.«
www.concept.biz
»Unsere Beobachtungen zu Ransomware-Angriffen auf Unternehmen sehen Forschung und Bildung auf Rang zwei der angegriffenen Branchen, mit einem Anteil von 22 Prozent.«
Dass Bildungsinstitutionen beliebte Angriffsziele sind, steht für Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender, außer Frage: Hacker gingen aber nicht branchenfokussiert vor: »Das Aufkommen von Malware-as-a-Service hat den natürlichen Wettbewerb um Ziele zwischen Cyberkriminalitätsgruppen verstärkt. Im Ergebnis ist jede Branche, unabhängig von ihrer Größe, ein wertvolles Ziel für Cyberkriminelle, da sie sich oft auf automatisierte und opportunistische Angriffe verlassen, um ihre Opfer zu finden und sie dann gezielt auszukundschaften sowie zu erpressen.
Das Bildungswesen ergab sich daher schon immer als ein beliebtes Ziel für Cyberkriminelle. Massen an persönlichen Daten, die in Untergrundforen ausgetauscht oder verkauft werden können sowie die unmittelbaren und oft sehr einfachen Möglichkeiten zur Nutzung von Ransomware ziehen die Hacker an.
Unsere Beobachtungen zu Ransomware-Angriffen auf Unternehmen sehen Forschung und Bildung daher auf Rang zwei der angegriffenen Branchen, mit einem Anteil von 22 Prozent. Davor finden sich nur – wie zu erwarten – die Telekommunikationsdienste, auf die 30 Prozent der Angriffe zielen. Bildung und Forschung sind aber stärker im Fokus der Hacker als Regierungsbehörden (17 Prozent) oder Technologie-Unternehmen (13 Prozent). Und sie leben mehr als viermal so gefährlich wie der Retail-Bereich mit vier Prozent.
Bildungseinrichtungen haben eine größere Angriffsfläche, die sich über Endpunkte, Server, BYOD und Cloud-Dienste erstreckt, welche selten zentral verwaltet werden. Kleine IT-Sicherheitsteams, die oft in Abteilungen mit Serviceleistungen eingegliedert sind, werden mit der Verteidigung solch großer Angriffsflächen überfordert. Nicht zuletzt sind die Sicherheitsbudgets klein und lassen nicht allzu viel Spielraum für Verbesserungen oder wenig Möglichkeiten für eine Gegenwehr. Bildungseinrichtungen sind leichte Ziele.«
www.bitdefender.de
Schlaglicht IT-Sicherheit in Bildungseinrichtungen
2: Welche besonderen Risiken bestehen bei Schulen, Universitäten oder Forschungsinstituten? ...