Bildungssektor im Fadenkreuz Cyberkrimineller

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Der Bildungssektor ist nach wie vor sehr anfällig, da Ransomware-Gruppierungen weiterhin Lehranstalten aus aller Welt angreifen. IT-Teams, die in diesen Einrichtungen tätig sind, stehen oft vor der Herausforderung, dass eine Vielzahl von Mitarbeitern, Studenten und Auftragnehmern ihre Netzwerke regelmäßig nutzen. Das Forschungspersonal kommuniziert routinemäßig mit anderen Einrichtungen, einschließlich der Weitergabe und des Empfangs von Links zu Daten und Ressourcen außerhalb des Netzes.

Die Anzahl der Studenten, die jedes Jahr kommen und gehen, ist beträchtlich, einschließlich derjenigen, die nur ein Diplom-, Teilzeit- oder einjähriges Studium beginnen. Hinzu kommt die Schwierigkeit, ein Gleichgewicht zwischen akademischer Freiheit und Sicherheitsbedürfnissen zu finden. Dazu kommen noch die Altsysteme in den Labors, die auf veralteten Betriebssystemen laufen. Diese Faktoren erklären zum Teil die Anfälligkeit des Sektors, Opfer von Datenschutzverletzungen und Cyberangriffen zu werden, wie Berichte von Verizon, KnowBe4 und Riffreporter verdeutlichen.

Forschungs- und Bildungseinrichtungen auf der ganzen Welt sind betroffen. Konbriefing listet für das zwei Monate alte Jahr 2023 sage und schreibe 22 Angriffe auf. Die deutsche Universität Duisburg-Essen wurde im November 2022 Opfer eines Ransomware-Angriffs und ging erst 2023 wieder online. Die Universität Dortmund forderte daraufhin ihre Mitarbeiter auf, keine Daten mit Duisburg-Essen über den Hochschul-Cloud-Dienst Sciebo auszutauschen.

Besorgniserregend ist, wie verwundbar Hochschulen sind. Über die Feiertage haben Journalisten und Sicherheitsforscher bei Riffreporter 400 deutsche Hochschuleinrichtungen getestet. Sie fanden heraus, dass viele Einrichtungen durch sehr einfache Cyberangriffe verwundbar waren und dass die entdeckten Schwachstellen durch einfache Befolgung der OWASP-Top 10-Richtlinien hätten vermieden werden können. Die Forscher waren sogar so erfolgreich, dass sie beschlossen, nach dem Einbruch in die 70 größten Einrichtungen aufzuhören. Sie hatten genug gesehen, um anzunehmen, dass die kleineren Institute ebenso leicht zu knacken waren.

Die Behebung dieser Schwachstellen ist von entscheidender Bedeutung. Angesichts der wachsenden Zahl von Passwörtern, die im Internet verfügbar sind, müssen Unternehmen auch auf Angriffe zum Auslesen von Anmeldeinformationen vorbereitet sein. Angreifer nutzen E-Mail- und Passwortlisten, die sie aus früheren Datenschutzverletzungen gesammelt haben, um Brute-Force-Angriffe auf Authentifizierungs- und Autorisierungsmechanismen durchzuführen. Listen mit Passwörtern, E-Mail-Adressen und Benutzernamen werden im Dark-Web verkauft. Die Tatsache, dass einige Organisationen wie die Universität Ilemnau einen groß angelegten Brute-Force-Angriff dieser Art abwehren konnten, sollte für andere Einrichtungen ein Ansporn sein, ebenfalls entsprechende Sicherheitsmaßnahmen zu ergreifen. Die Erfahrung zeigt: Es kostet mehrere Monate Arbeit und eine Menge Geld, sich von einem erfolgreichen Angriff zu erholen.

Der „2023 Sonicwall Cyber Threat Report2 zeigt für den Bildungssektor einen Anstieg der Ransomware-Angriffe um 275 Prozent. Diese Zahl spiegelt einige der Entwicklungen der Cyberkriminalität wider. Ransomware-Operationen sind zu Geschäftsvorgängen geworden, was bedeutet, dass sie genauso effizient arbeiten, aber auch mit einigen der gleichen Probleme konfrontiert sind, die legitime Unternehmen zu bewältigen haben. Ransomware als Dienstleistung ist auch für technisch nicht versierte Personen verfügbar. Toolkits sind leicht verfügbar, einschließlich Youtube-Anleitungsvideos und Schritt-für-Schritt-Anleitungen. Es gibt Vertriebs- und Franchisemodelle mit unterschiedlichen Gewinnaufteilungsmodellen zwischen Entwicklern und ihren Partnern. Die Angreifer wenden neue Taktiken an, um an die lukrativsten Ziele heranzukommen, z. B. werden die Opfer vor die Wahl gestellt, die Malware zu verbreiten, anstatt für die Entschlüsselung ihrer Daten zu bezahlen.

Fazit

Obwohl die Gesamtzahl der Lösegeldzahlungen in allen Bereichen zurückging, stiegen die relative Größe der Opferorganisationen und der Wert pro Zahlung. Ransomware-Gruppen wie Lockbit und Royal setzen ihre Bestrebungen fort vor allem den Bildungssektor zu attackieren. Schließlich ist er eine Fundgrube für persönliche und finanzielle Informationen. Diese Art von Informationen bietet ein hervorragendes Druckmittel für Erpressungen, da die Organisationen Rechtsstreitigkeiten befürchten müssen, wenn die Daten nach dem Angriff veröffentlicht werden.

Der Sektor muss sich dringend mit allen drei Elementen einer ganzheitlichen Cyberabwehr befassen: Menschen, Prozesse und Technologie (PPT). Datenschutzverletzungen wie die oben beschriebenen liefern das perfekte Argument, um Investitionen zu rechtfertigen und entsprechende Maßnahmen zu ergreifen.

#KnowBe4