CISA unterstützt Schulen bei der Cybersecurity

Präsident Biden hat ein Gesetz unterzeichnet, das die Cybersecurity and Infrastructure Security Agency (CISA) dazu verpflichtet, Empfehlungen und Tools für die Cybersicherheit an Schulen zu erarbeiten, damit diese sich selbst vor Cyberkriminellen schützen können.

Das parteiübergreifende Gesetz K-12 Cybersecurity Act wurde vom Vorsitzenden des Senatsausschusses für Innere Sicherheit und Regierungsangelegenheiten, Gary Peters (Demokrat, Michigan), und den Senatoren Rick Scott (Republikaner, Florida), Jacky Rosen (Demokrat, Nevada) und Bill Cassidy (Republikaner, Louisiana) als Reaktion auf die Welle von Ransomware-Angriffen unterstützt, die unter anderem Schulsysteme von Miami-Dade County (Florida), Baltimore County (Maryland) und Fairfax County (Virginia) lahmgelegt haben.

Repräsentant Jim Langevin (Demokrat, Rhode Island) hat den Gesetzentwurf im Repräsentantenhaus hauptsächlich unterstützt, zusammen mit den Repräsentanten Doris Matsui (Demokratin, Kalifornien), Andrew Garbarino (Republikaner, New York), Andrew Clyde (Republikaner, Georgia) und Elissa Slotkin (Demokratin, Michigan), die als Co-Unterstützer unterzeichneten.

In diesem Jahr wurden in einem Bericht des K-12 Cybersecurity Resource Center 408 Cybersecurity-Vorfälle in K-12-Einrichtungen festgestellt, was einem Anstieg von 18 % gegenüber 2019 entspricht. Das entspricht etwa zwei Cyberangriffen pro Schultag, heißt es in dem Bericht.

Es ist noch nicht klar, wie genau die CISA den Schulen helfen kann, die normalerweise von einer kleinen Anzahl von IT-Fachleuten abhängig sind, die nicht nur die Sicherheit, sondern auch alle anderen Aspekte der IT betreuen müssen. CISA ist ein Zweig des Ministeriums für Innere Sicherheit (Department of Homeland Security, DHS), der zur Verbesserung der Cybersicherheit auf allen Regierungsebenen, zur Koordinierung von Cybersicherheitsprogrammen mit den US-Bundesstaaten und allgemein zur Optimierung der Abwehr von Cyberangriffen der US-Regierungseinrichtungen ins Leben gerufen wurde. Im Rahmen dieser Aufgabe entwickelt CISA Tools für die Cybersicherheit und bietet Dienstleistungen für die Incident Response sowie Bewertungsfunktionen an.

Herausforderungen für Schulen hinsichtlich Cybersecurity

Angesichts der Herausforderungen, mit denen IT-Mitarbeiter konfrontiert sind, die im Auftrag von Schulbezirken Systeme verwalten, ist jede zusätzliche Hilfe im Bereich der Cybersicherheit natürlich mehr als willkommen – vor allem, wenn diese Hilfe kostenlos ist. Die meisten Schulbezirke verfügen nicht über das nötige Budget, um eine sinnvolle Cybersicherheitsverteidigung in einer schwierigen IT-Umgebung aufzubauen, in der sowohl Schüler als auch Lehrer der Cybersicherheit wahrscheinlich nicht die notwendige Aufmerksamkeit schenken.

Die gemeinnützige K12 Security Information Exchange (K12 SIX) ist eine von mehreren Organisationen, die die allgemeine Cybersicherheitslage von Schulbezirken verbessern wollen. Kürzlich veröffentlichte die Organisation eine Reihe bewährter Praktiken zur Cybersicherheit für K-12-Schulen, die auf einem von ihr entwickelten kostenlosen Selbstbewertungsinstrument basieren. Der Best-Practice-Leitfaden befasst sich mit allen Aspekten, von der Feststellung, ob die Schutzmaßnahmen ordnungsgemäß umgesetzt wurden, bis hin zu den Auswirkungen und Gesamtkosten.

Die größten Kosten bei der Cybersecurity sind selbstverständlich immer die Personalkosten. Die meisten Schulbezirke können es sich nicht leisten, Vollzeit-Cybersicherheitsexperten einzustellen. Natürlich gibt es in diesen Schulbezirken viele Experten für Cybersicherheit, die dort leben. Aber viele von ihnen sind bereits überlastet. Die Inhaber der Organisationen, für die diese Cybersicherheitsexperten arbeiten, könnten jedoch einen großen Beitrag zu ihren lokalen Communitys leisten, wenn sie ehrenamtlich etwas Zeit für den Schutz lokaler Schulen aufbringen.

Es gibt bereits genügen Cybersicherheitsexperten, die sich auf diese Weise in ihrer Freizeit ehrenamtlich engagieren, ohne dass es in der Öffentlichkeit bekannt wird. Es liegt auf der Hand, dass mehr Fachwissen im Bereich der Cybersicherheit benötigt wird. Organisationen, die bereits über ein eigenes Sicherheitsbetriebszentrum verfügen, könnten zum Beispiel einen Schulbezirk übernehmen. Schulbezirke gehören zu den am stärksten gefährdeten Zielen für Cybersecurity-Angriffe. Zu einer Zeit, in der Cyberangriffe auf Schulbezirke nun Teil einer größeren Krise sind, war es für Organisationen noch nie so wichtig wie heute, sich in dieser nationalen Notlage für ihre lokale Gemeinschaft zu engagieren.

Schutz von Schülern, Lehrkräften und Personal vor Advanced Threats