80 Prozent aller Cyberangriffe zielen auf Schulen ab: Hybridunterricht sicher gestalten

Es hat sich eingebürgert, dass am Ende des Jahres die guten Vorsätze für die nähere Zukunft ins Bewusstsein rücken. Wie wäre es in dem Zusammenhang mit dem hehren Ziel „Mehr IT-Sicherheit im Bildungssektor?“ Angesichts der aktuellen Situation gewiss keine schlechte Maßnahme. Denn gerade dieser Bereich wurde im Zuge der Pandemie zum perfekten Ziel für Cyberkriminelle. Die Notwendigkeit des Fernunterrichts und die damit zusammenhängende massive Beschleunigung der Digitalisierung haben bisherige Versäumnisse schonungslos ans Licht gebracht. IT-Security-relevante Defizite zeigen sich vor allem an Grund- und weiterführenden Schulen – im Vergleich mit Universitäten, die hinsichtlich der verfügbaren Technologien und Fähigkeiten während des Lockdowns in der Regel zumindest schon mal einäugig unter den Blinden waren.

Branchenanalysten für IT-Sicherheit haben festgestellt, dass das Bildungswesen im Hinblick auf Cyberangriffe ganz vorne mit dabei ist: Über 80 Prozent der Vorfälle im Zusammenhang mit Schadsoftware, die in den letzten 30 Tagen gemeldet wurden, fanden in diesem Umfeld statt. Natürlich ist Datensicherheit in jedem Bereich von hoher Priorität. Aber gerade im Bildungswesen kommt es darauf an, vertrauliche Informationen und die Privatsphäre von Benutzern über verschiedenste eingesetzte Endgeräte hinweg zu schützen – es geht schließlich um die personenbezogenen Daten von Schülerinnen und Schülern, deren Familien sowie der Lehrkräfte.

Aber was sind die größten Gefahren vor dem Hintergrund eines vielfältigen Zusammenspiels von Präsenzunterricht an Schulen, virtuellen Unterrichtsmodellen und dem persönlichen Lernen am Endgerät?

• Ransomware
• Datensicherheitsverletzungen
• Phishing
• DDoS-Angriffe (Distributed Denial-of-Service)
• IoT-Schwachstellen
• Doxing (Cybermobbing)
• Domain-Spoofing
• EOL-Software (End-of-Life)

Cybermobbing als Sicherheitsbedrohung?

Laut Zahlen von UNICEF sind weltweit 33 Prozent aller Kinder und jungen Erwachsenen im Alter zwischen 12 und 24 Jahren schon einmal Opfer von Cybermobbing geworden. Auch wenn Cybermobbing per se nicht unter Cyberkriminalität kategorisiert ist, sind die Grenzen oftmals fließend. In den schlimmsten Fällen kann diese Art von Belästigung ins sogenannte „Doxing“ übergehen. Davon wird gesprochen, wenn der Angreifer es schafft, sich Zugang zum E-Mail-Konto oder den Social-Media-Kanälen des Opfers zu verschaffen – mit dem Ziel, dessen persönliche Daten zu veröffentlichen und damit für Bloßstellung zu sorgen. Auch Situationen, in denen mithilfe von Schadsoftware Endgeräte kompromittiert werden, um an Standortinformationen oder andere vertrauliche Informationen des Nutzers zu gelangen, fallen unter diesen Begriff.

Statista-Daten zufolge geraten im Schnitt sechs Prozent der Benutzerinnen und Benutzer von Online-Plattformen in die Fänge von Hackern, vier Prozent verlieren jegliche Zugriffskontrolle über ihre Endgeräte. Dies zeigt, dass digitale Belästigung durchaus auch in ernstzunehmenden Sicherheitsbedrohungen münden kann.

Das Problem wird leider nicht allein dadurch gelöst, dass wir uns dessen bewusst sind. Kinder und Jugendliche müssen dahingehend geschult werden, dass sie ihre Sicherheit in der digitalen Welt schützen und unangenehmen Situationen, die potenziell noch gefährlicher werden können, entfliehen. Aber welche Schritte sollten unternommen werden, um die Gefahr einer Cybersicherheitsverletzung so gering wie möglich zu halten?

• Auf aktuelle Versionen der eingesetzten Software achten: Software-Updates beinhalten oftmals auch wichtige Security-Patches und weitere Sicherheitsverbesserungen von Anbieterseite.
• Starke Kennwörter erstellen: Es ist wichtig, dass nicht für alle persönlich genutzten Konten immer das gleiche (einfache) Kennwort verwendet wird.
• Ungereimtheiten mit dem nötigen Argwohn begegnen: Das Anklicken eines Links, bei dem nicht klar ist, woher er stammt, sollte tunlichst vermieden werden. Außerdem ist es wichtig, niemals persönliche Daten per Telefon oder Textnachricht weiterzugeben, wenn man es mit einer unbekannten Nummer oder einem automatisierten Anruf zu tun hat.

Unterricht hybrid und sicher gestalten

In einem schulischen Umfeld, in dem Hunderte von Lernenden und Lehrkräften von überall aus in der Lage sein müssen, sicher auf Netzwerkstrukturen zuzugreifen, gelten höchste Sicherheitsansprüche bei der Ausgestaltung der zugrundeliegenden IT. Glücklicherweise stehen Bildungseinrichtungen vielfältige Maßnahmen und Werkzeuge zur Verfügung, mit denen sich die spezifischen Risiken minimieren lassen:

• Allen Mitarbeitenden sollten einschlägige Schulungen zu den Grundprinzipien der IT-Sicherheit angeboten werden. In dem Zusammenhang ist darauf zu achten, dass die Teilnehmer verstehen, warum es so wichtig ist, sich an bestimmte Vorgaben zu halten, wenn es um Datenschutz geht.
• In jeder Bildungseinrichtung sollte ein IT-Sicherheitsverantwortlicher ernannt werden, der dafür einsteht, dass die relevanten Security-Regeln eingehalten werden. Zudem können regelmäßige Audits und ein effektiver Reporting-Prozess dazu beitragen, Auffälligkeiten oder potenzielle Sicherheitslücken frühzeitig zu erkennen.
• Vom Einsatz einer einheitlichen Plattform für IT-Sicherheit geht entscheidender Mehrwert aus. Diese trägt maßgeblich zum Schutz aller Umgebungen, Anwender und eingesetzten Endgeräte bei. Gleichzeitig ist sie einfach zu implementieren und zu verwalten. Eventuelle Angriffe können auf diese Weise weitreichend und mit vergleichsweise wenig Aufwand verhindert werden.
• Verschlüsselung und Back-ups der eingesetzten Systeme sind wichtige Aspekte. Sie tragen dazu bei, dass Daten im Falle einer Cybersicherheitsverletzung wiederhergestellt werden können.
• Sichere WLAN-Strukturen, die im Zuge jeglichen Internetverkehrs eine VPN-Verbindung voraussetzen, stellen einen essenziellen Baustein ganzheitlicher Sicherheitskonzepte dar.

Die Digitalisierung im Bildungswesen bietet viele Vorteile, aber entsprechende Chancen können durch mangelnde Cybersicherheit verwirkt werden. Einschlägige Trainings sind in dem Zusammenhang ebenso wichtig wie der Einsatz moderner IT-Security-Lösungen. Steht alles im Einklang, lassen sich die Potenziale der Digitalisierung bestmöglich ausschöpfen.

Quelle: WatchGuard-Blog