Bildungswesen

Hier ist, warum K-12 Schulbezirke unter Angriff sind

Druckfreundlich, PDF & E-Mail

Es ist nun mehr als sieben Jahre her, dass sich Hacker Zugriff auf das Netzwerk von Yahoo verschafft und die persönlichen Daten von etwa drei Milliarden Benutzerkonten gestohlen haben. Seitdem haben wir miterlebt, wie bei Dutzenden von renommierten Marken wie Adobe, Equifax, Canva, Facebook, Marriott International und vielen anderen durch bösartige Angriffe sensible Daten verloren gingen. Nach gängigen Standards handelt es sich hier um große und profitable Unternehmen, die in der Lage sein sollten, sich die beste verfügbare Cybersecurity-Kompetenz zu leisten. Dennoch sind die sensiblen Daten von Hunderten Millionen Menschen auf der ganzen Welt nun in den Händen von kriminellen Hackern, nachdem die Betroffenen mit den oben angesprochenen Unternehmen im Geschäft waren.

Dass große Unternehmen für Kriminelle ein beliebter „Volltreffer“ sind, ist klar. Letztere haben jedoch auch den Wert von Schülerdaten erkannt, die bei öffentlichen Schulen liegen. Angriffe gegen Bildungseinrichtungen vom Kindergarten bis zur Abschlussklasse haben in den letzten Jahren an Häufigkeit und Schwere zugenommen. Kriminelle unternehmen immer mehr Anstrengungen, um in Schulnetzwerke einzudringen, Malware abzulegen und Schülerdaten zu stehlen. Im Vergleich mit den Sicherheitsverletzungen bei größeren Unternehmen, die die Schlagzeilen beherrschen, macht ein Hackerangriff auf eine Schule keinen Sinn. In den Unterlagen der meisten Schülerinnen und Schüler gibt es keine Kreditkartendaten und Bankkonten, keine Sicherheitsfragen und -antworten, keine persönlichen E-Mail-Konten und Passwörter und nur sehr wenig medizinische Informationen. Was macht es also zu solch einem Coup?

Das öffentliche Schulwesen

Um zu verstehen, warum Schulen solch ein ergiebiges Ziel sind, sollte man einen Blick auf das große Ganze richten. Im öffentlichen Schulwesen in den USA sind fast 6,7 Millionen Menschen beschäftigt und es handelt sich demnach gemessen an den Beschäftigungszahlen um die größte Branche in den Vereinigten Staaten. Diese Branche betreut Kinder und Jugendliche vom Kindergarten bis zur 12. Klassenstufe in regulären Grund- und Sekundarschulen, Charterschulen, Magnetschulen und nicht-traditionellen Bildungseinrichtungen. In all diesen Schulen haben Kinder und Jugendliche Zugang zu staatlich finanzierter Bildung, welche für die Gemeinde kostenlos ist.

Dadurch entsteht ein Markt der freien Bildung mit einer Größe von fast 806 Milliarden US-Dollar. Schulen arbeiten mit privaten Unternehmen zusammen, die den Schülerinnen und Schülern Ressourcen anbieten oder den Betrieb der Bildungseinrichtung unterstützen. MacGraw-Hill Education, Adobe Systems und Cisco Systems sind einige der größten Partner des öffentlichen Schulwesens. Darüber hinaus setzen Schulen auch immer mehr SaaS-Programme und Cloud-Bereitstellungen ein, um die Kosten im Blick zu haben und die Vorteile dieser Ressourcen zu nutzen. In den letzten Jahren haben sich „Microsoft 365 Education“ und „Google Apps for Education“ weitgehend durchgesetzt. Beim Umstieg auf Distance Learning im Jahr 2020 hat sich der Wert dieser Online-Produktivitätssuiten gezeigt, denn Schulen fingen an, „Google Classroom“ und „Microsoft Teams“ einzusetzen, um Kinder weiter unterrichten zu können.

Trotz der Größe der Branche und ihrer Abhängigkeit von Konnektivität und Technologie investieren einzelne Bildungsreinrichtungen nur selten in ein dem Risiko angemessenes Maß an Cybersecurity. Aus diesem Grund gelten öffentliche Schulen bei Cyberkriminellen als „leichte Ziele“. Schulen verfügen über ein hohes Maß an wertvollen Daten, die nicht gut geschützt sind.

Schülerdaten

Öffentliche Schulen in den Vereinigten Staaten werden vom Kindergarten bis zu 12. Klassenstufe von mehr als 50 Millionen Schülerinnen und Schülern besucht. Die von diesen Schülerinnen und Schülern generierten Daten begleiten diese auf ihrem Schulweg und werden auch noch mehrere Jahre nach dem Verlassen des Bezirks gespeichert. In jeder Schülerakte sind Sozialversicherungsnummer, Geburtsdatum, Adresse, Informationen zu Eltern oder Erziehungsberechtigten, Noten und möglicherweise auch finanzielle, medizinische sowie andere sensible Informationen enthalten. Diese Datensätze sind für Identitätsdiebe und andere Kriminelle wertvoll, denn sie stellen komplette Profile einer Person dar und die jeweiligen Personen haben wahrscheinlich auch noch keine finanzielle Vorgeschichte im Hinblick auf Kredite. Die Identitäten von Schülerinnen und Schülern sind also ein ungeschriebenes Blatt, wenn es um Finanzbetrug geht.

Datenpanne beim Schulbezirk Toledo im September 2020. Knapp sechs Monate, nachdem sich Hacker Zugriff auf Schüler- und Mitarbeiter-Akten verschafft hatten, kamen nach und nach Beweise für Betrug ans LichtTwittern

Ein Beispiel dafür, wie diese Daten verwendet werden, zeigt sich im Rahmen der Datenpanne beim Schulbezirk Toledo vom September 2020. Etwa sechs Monate, nachdem sich Hacker Zugriff auf Schüler- und Mitarbeiter-Akten verschafft hatten, kamen nach und nach Beweise für Betrug ans Licht. 13abc Action News in Toledo berichtete folgende Geschichte von einem der Opfer:

Er hat nun erfahren, dass die Informationen seines Sohns in den Händen von Leuten sind, die keinen Zugriff darauf haben sollten. Hier sind ein paar der Nachrichten, die er bezüglich seines Kindes im Grundschulalter erhalten hat:

  • Die erste betraf die Ablehnung einer Kreditkarte.
  • Eine weitere Nachricht kam, als dem Kind der Kredit für ein Auto verwehrt und als Grund das Einkommensverhältnis angegeben wurde.
  • In einer der letzten Nachrichten ging es um die Festlegung von Stromtarifen.
  • Die Familie erhielt einen Werbezettel, in dem vom Kundenkonto des Schülers bei Toledo Edison und von einem Geschenkgutschein die Rede war, den er durch einen Anbieterwechsel erhalten könnte.

„Sie haben die Informationen unserer Kinder und sie versuchen, sie zu nutzen.“

Schülerdaten sind Berichten zufolge im Dark Web zwischen 250 und 350 US-Dollar wert, da es so einfach ist, auf Basis einer jungen Person ohne finanzielle Vorgeschichte eine falsche Identität aufzubauen.

Schülerdaten und Ransomware

Schülerdaten werden auch als Druckmittel bei Ransomware-Programmen mit doppelter Erpressung eingesetzt. Die Häufigkeit und auch der Schweregrad von Ransomware-Angriffen auf Schulen hat sich erhöht und teilweise belaufen sich die Lösegeldforderungen auf über 1 Million US-Dollar. Das FBI und andere Sicherheitsbehörden haben vor Kurzem einen gemeinsamen Bericht veröffentlicht, der zeigt, dass Schulen vom Kindergarten bis zur 12. Klassenstufe das Top-Ziel für Ransomware-Angriffe waren und dass 57% aller erfolgreichen Ransomware-Angriffe in der zweiten Hälfte des Jahres 2020 auf diese Einrichtungen erfolgten.

Die Strafverfolgungsbehörden empfehlen Opfern von Ransomware-Attacken, kein Lösegeld zu zahlen, und viele Unternehmen werden Lösegeldforderungen ignorieren, wenn sie über ein Backup der Daten verfügen, die bei der Attacke verschlüsselt wurden. Um den Einsatz zu erhöhen, stehlen Kriminelle jetzt bereits Daten, bevor sie diese verschlüsseln und Lösegelder fordern. Wenn Organisationen sich weigern, die geforderten Summen zu zahlen, drohen Kriminelle damit, die Daten zu veröffentlichen. Das war auch bei der oben angesprochenen Datenpanne beim Schulbezirk Toledo der Fall.

Schulen vom Kindergarten bis zu 12. Klassenstufe waren das Top-Ziel für Ransomware-Angriffe und in der zweiten Hälfte des Jahres 2020 erfolgten 57% aller erfolgreichen Ransomware-Angriffe auf diese Einrichtungen.Twittern

Schutz von Schülerdatensätzen und anderen Daten

Der beste Weg, Daten zu schützen, besteht darin, mehrere Sicherheitsebenen im gesamten Bildungssystem einzusetzen. E-Mail-, Netzwerk- und Anwendungssicherheit arbeiten Hand in Hand, um das Netzwerk und die Daten vor Eindringlingen und auch vor versehentlichem Verlust zu schützen. Auch die Investition in Schulungen zur Stärkung des Risikobewusstseins der Endbenutzer lohnt sich, insbesondere im Bereich Phishing und bei anderen E-Mail-Angriffen.

Barracuda bietet eine Komplettlösung für das schulische Umfeld. Weitere Details finden Sie unter https://www.barracuda.com/programs/k12.

Leave a Reply

Your email address will not be published. Required fields are marked *

Nach oben scrollen
Twittern
Teilen
Teilen