Cyberangriffe auf Bildungseinrichtungen
Digitalisierung macht Hochschulen zu Zielen für Hacker
Mimecast warnt vor Cyberattacken auf Universitäten und Fachhochschulen
Viele Universitäten bieten eine Mischung von Präsenz- und Onlineveranstaltungen. Die zunehmende Digitalisierung – die gerade jetzt während der Pandemie an Fahrt gewinnt – sorgt dafür, dass sich Bildungseinrichtungen auf eine neue Welle von Cyberangriffen vorbereiten müssen. Mimecast-Experten warnen insbesondere vor der wachsenden Bedrohung durch Lösegeldforderungen. Untersuchungen des Mimecast Threat Intelligence-Teams zeigen, dass die Zahl der Cyberangriffe auf Bildungseinrichtungen weltweit stark zugenommen hat. Während die Forscher im gesamten Jahr 2019 mehr als 1,8 Millionen Angriffe auf die Hochschulbildung registrierten, waren es nach acht Monaten im Jahr 2020 bereits fast 2,8 Millionen Angriffe.
Mehrere Länder wurden in letzter Zeit mit Lösegeldangriffen im Hochschulbereich konfrontiert. In vielen Fällen drohen Kriminelle damit, die verschlüsselten Daten preiszugeben, wenn das Lösegeld nicht bezahlt wird. Dies veranlasste die Universität von Utah zur Zahlung von fast einer halben Million Dollar. Nur so konnte die Universität verhindern, dass Studiendaten nach außen dringen. 2019 waren beispielsweise auch die Uni in Gießen und die Katholische Hochschule in Freiburg Ziel eines Hackerangriffs.
Cybersicherheit hat noch keine Priorität
Fachhochschulen und Universitäten verfügen über eine Fülle wertvoller Informationen: von Forschungsdaten bis hin zu persönlichen Daten von Studenten und Angestellten, die geschützt werden müssen. Angriffe auf Hochschulen in der Vergangenheit und die COVID-19 Pandemie wirken als Katalysator für Veränderungen. Trotzdem sind die Budgets für Sicherheit oft begrenzt. Daher rät Dr. Francis Gaffney, Direktor der Threat Intelligence bei Mimecast und Gastdozent an verschiedenen britischen Universitäten zu folgenden Maßnahmen, die ergriffen werden können:
Verschärfung der IT-Policies – "Es ist wichtig, dass die IT-Abteilung eine klare Richtlinie zu Dingen wie Passwortnutzung, Verschlüsselung, Backups und Anti-Malware hat. Die IT muss auch aktiv zum Thema Sicherheit kommunizieren, zum Beispiel durch Warnungen vor neuen Phishing-Kampagnen. Das trägt zur Sensibilisierung von Studenten und Mitarbeitern bei."
Strenge Zugangskontrolle – "Jetzt, da Bildung oft virtuell stattfindet, ist es entscheidend, dass Universitäten und Fachhochschulen die Identität der Studenten mit Sicherheit feststellen können. Darüber hinaus empfehle ich, den Fernzugriff auf Systeme und Daten für Studenten so weit wie möglich einzuschränken. Gewähren Sie den Zugang nur dann, wenn er unbedingt notwendig ist."
Awareness-Training für Studenten – "Cyberkriminelle zielen zunehmend auf Studenten ab, die oft anfällig für Social Engineering* sind. Ein obligatorisches Training für jeden, in dem auf die Gefahren hingewiesen und geschult wird, wie diese selbst erkannt und eingedämmt werden können, wäre ein guter Schritt. Mit einem gewissen Humor aufbereitet, kommt auch dieses vermeintlich trockene Thema gut an und der Unterrichtsstoff bleibt haften. In einer idealen Welt ist Cybersicherheit tatsächlich Teil des Lehrplans.”
Maßnahmenplan – "Stellen Sie sicher, dass Sie als Organisation einen Maßnahmenplan parat haben. Wie verhalten Sie sich im Falle einer Lösegeld-Forderung? Wie sind die Aufgaben verteilt und wie kommunizieren Sie intern und extern? Backups sind wichtig, aber verlassen Sie sich nicht blind darauf. Auch die University of Utah hatte Backups und zahlte trotzdem das Lösegeld.”
"Jede Universität und Hochschule sollte jetzt kritisch prüfen, wie sie gegen Angriffe mit Lösegeldforderungen aufgestellt ist und wie sie für den Fall, dass sie infiziert würde, vorgeht. Schließlich soll der Betrieb schnell und sicher wiederaufgenommen werden können", betont Gaffney. "Wir erwarten in den kommenden Monaten einen neuen Höhepunkt, auch weil immer mehr Bildungseinrichtungen das Lehrmaterial online anbieten. Das vergrößert die Angriffsfläche für Cyberkriminelle." Aus seiner eigenen Erfahrung weiß der ehemalige Chemielehrer Gaffney, wie abhängig Universitäten, Fachhochschulen und auch Schulen von der digitalen Technologie sind. "Deshalb bin ich sehr besorgt darüber, dass Cybersicherheit nicht immer eine Priorität in der Hochschulbildung ist."
Bei Social Engineering handelt es sich in der Regel um recht ausgeklügelte Angriffe, die auf einer umfangreichen Analyse von Lebensmustern basieren, einschließlich der Erforschung von Suchverhalten, um spezifische, maßgeschneiderte Köder in Form von Websites und maßgeschneiderte E-Mails zu entwickeln. (Mimecast: ra)
eingetragen: 10.10.20
Newsletterlauf: 21.01.21
Mimecast: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.