Von Schulen über Universitäten bis zu Forschungslabors unterhalten alle Institutionen des Bildungswesens riesige Bestände von sensiblen Daten. Die folglich geschützt werden müssen. Und dennoch hat man im Bildungssektor Mühe, das Thema Cybersicherheit anzupacken. Ein Erklärungsversuch.
Über die klassischen Fälle von Lösegeldforderungen, wie es die Universität Korsika im Mai dieses Jahr erlebte, ist der Diebstahl von sensiblen Daten einer der wichtigsten Gründe für Cyberangriffe gegenüber Bildungseinrichtungen. In diesem Sommer musste die Informatik-Akademie Epitech die Feststellung eines Datenlecks einräumen, als personenbezogene Daten von mehreren Studenten und Partnern im Internet auftauchten. In Florida waren letztes Jahr in einem Schulzentrum mehr als 50.000 Personen von einem Angriff betroffen: Schüler und Ehemalige, Eltern, Lehrer und Mitarbeiter, deren Name, Geburtsdatum, Adressdaten, Verbindungsdaten sowie akademische Daten und sogar Gesundheitsdaten in falsche Hände gelangten …
Alle Mittel sind gut, um sich Zugang zum geistigen Eigentum eines Staates zu verschaffen.
Zunehmend werden die Institute durch ihre Forschungslabors auch zum Schauplatz von Machenschaften aus kommerziellen und militärischen Interessen. Phishing, um sich maritime Hochtechnologien anzueignen, oder massive Spoofing-Kampagnen, um in Online-Bibliotheken einzudringen... Alle Mittel sind gut, um sich Zugang zu sensiblen Daten zu verschaffen.
Bevorzugte Ziele, die nicht ausreichend geschützt sind
Guillaume Rénier, Direktor Informatik und Informationssysteme der Universität Cergy-Pontoise, betont: „Unsere Arbeit besteht darin, die Privatsphäre der Nutzer, vor allem der Studenten, die viele Spuren im Internet hinterlassen, zu schützen.“ Aber auch diejenige der Forscher, die an strategischen und vertraulichen Themen arbeiten und einen hohen Bedarf an Kommunikation über Collaboration Tools haben. Aber es ist nach wie vor schwierig, diese Experten zu einem so abstrakten Thema wie Cybersicherheit zu mobilisieren. Aus diesem Grund bevorzugte die Universität den Aufbau eines WLAN-Netzes anstatt der Nutzung des externen 4G-Netzes und arbeitet daran, die Verwendung der vorhandenen Tools (wie zum Beispiel Dropbox) sicherer zu machen. Die Universität prüft derzeit mit Stormshield eine Lösung für Mehrfachverschlüsselung dieses Tools.
Potenzielle Hacker oder Personen mit wenig Bewusstsein für Probleme der Cybersicherheit sind zwei Personengruppen, die gleichermaßen gefährlich sind
Robert Wakim, Offers Manager Stormshield
Zudem gibt es ein internes Risiko, das genauso gefährlich ist wie eine Bedrohung von außen. In der Tat gibt es Studenten, die versuchen, Zugriff auf Klausuren zu erhalten oder Noten zu fälschen. Durch ein Sicherheitsaudit bei 400 Bildungseinrichtungen in Großbritannien wurde festgestellt, dass 20 % von ihnen von ihren eigenen Schülern gehackt wurden! Robert Wakim, Offers Manager bei Stormshield, fasst dieses Problem zusammen: „Wir haben es mit Millionen von Menschen zu tun, die entweder potenzielle Hacker oder Menschen mit wenig Bewusstsein für Probleme mit Cybersicherheit sind. Zwei Personengruppen, die gleichermaßen gefährlich sind …“
Wie können wir die Cybersicherheit in unseren Schulen verbessern?
Während in den Klassenzimmern immer mehr vernetzte Geräte eingesetzt werden, müssen die Bildungseinrichtungen neue Herausforderungen zur Sicherung der Netzwerke, Workstations und sensiblen Daten bewältigen. Im aktuellen Kontext der immer größer werdenden Schulzentren unter demselben IT-Management ist die Beherrschung dieser Vernetzungen ein entscheidender Punkt.
Das vorrangige Ziel ist zuerst, sich zu vergewissern, dass die Workstations nicht infiziert wurden – zum Beispiel über USB-Sticks von Studenten. Falls jedoch ein Terminal kontaminiert sein sollte, spielt die Segmentierung der Netzwerke eine wesentliche Rolle, um eine mögliche massive Verbreitung zu vermeiden. Schließlich beruht die Beherrschung des Risikos auch auf der Einrichtung von virtuellen Safes, durch die die Daten verschlüsselt werden, um den Zugriff darauf auf autorisierte Forscher, Professoren oder Studenten zu beschränken.
Eine Frage der Sensibilisierung
Im Bildungsbereich wie anderswo sind vor allem die Menschen Akteure für Cybersicherheit. Doch für gewisse Lehrende ist das IT-Netz nur ein sekundäres Arbeitsmittel: „Wenn es nicht funktioniert, sind sie nicht grundsätzlich an ihrer Arbeit gehindert; vielleicht widmen sie ihm deshalb nicht dieselbe Aufmerksamkeit wie in einem Unternehmen“, analysiert Robert Wakim.
Die Sensibilisierung in den Einrichtungen wird allmählich besser.
Xavier Prost, zuständig für die Abteilungen Bildung und Dokumentation bei Stormshield
„Die Sensibilisierung in den Einrichtungen wird allmählich besser“, stellt Xavier Prost fest, der für die Abteilungen Bildung und Dokumentation bei Stormshield verantwortlich ist. Mit anerkannten Schulungen mit dem Label für Weiterbildung SecNumEDU der französischen Behörde für Informationssicherheit ANSSI unterstützt Stormshield Lehrer und Studenten bei diesem Ansatz. „Doch sie beschränkt sich viel zu oft auf spezialisierte Ausbildungsgänge nach dem Abitur.“ Wie kann man also eine größere Zahl von Lehrkräften und Studenten erreichen? Wie wäre es, wenn man Cybersicherheit ab der Schule unterrichten würde?