Teure Lehrstunde

Erfolgreiche Cyberangriffe auf mehrere Schweizer Hochschulen machten im Oktober letzten Jahres Schlagzeilen. Cyberkriminellen war es gelungen, mittels Phishing-E-Mails in deren Netzwerke einzudringen und laut Basler Staatsanwaltschaft Lohnzahlungen in insgesamt sechsstelliger Höhe auf eigene Konten umzuleiten.

Der öffentliche Bereich war schon immer ein beliebtes Ziel von Cyberkriminellen, wobei gerade der Bildungssektor im Fokus dieser Aktivitäten steht. So haben auf der einen Seite sowohl die Häufigkeit als auch die Raffinesse der Angriffe auf Bildungseinrichtungen in den letzten Jahren zugenommen. Im Vergleich zu 2018 verzeichnete dieser Sektor laut einer Untersuchung von Proofpoint innerhalb nur eines Jahres 192 Prozent mehr E-Mail-basierte Cyberattacken und damit den grössten Anstieg aller Branchen.

Auf der anderen Seite ist festzuhalten, dass es gerade der öffentliche Sektor ist, der einen hohen Nachholbedarf an IT-Security aufweist. Im Sommer 2020 führte Proofpoint eine Umfrage unter IT-Security-Entscheidern in der Schweiz sowie in Österreich und Deutschland durch.

Auf die Frage, ob die Sicherheitsverantwortlichen glauben, dass ihre Organisation auf einen Cyberangriff vorbereitet ist, antworteten im Durchschnitt 72 Prozent aller Branchen mit «ja» oder zumindest «teilweise». Im Branchen­vergleich sahen sich in dieser Umfrage vor allem die öffentlichen Verwaltungen eher schlecht gegen Cyberattacken gewappnet; nur 46 Prozent konnten von sich behaupten, zumindest annähernd auf Cyberangriffe reagieren zu können.

Bedingt durch die aktuelle Pandemie und die damit einhergehenden Digitalisierungsanstrengungen bieten sich Cyber­kriminellen zusätzliche Angriffsflächen – insbesondere, da Sicherheitsaspekte anfänglich häufig in der Priorisierung einer Remote-Lösung zurückgestellt wurden. Dies wussten und wissen Cyberkriminelle entsprechend für ihre Zwecke zu missbrauchen. Einer öffentlichen Ankündigung des FBIs zufolge hatte man bereits Ende März des vergangenen Jahres 1200 Meldungen zu verschiedenen Cyber-Betrugsversuchen in Zusammenhang mit Covid-19 erhalten. Laut der US-Bundespolizei war schon zu diesem Zeitpunkt festzustellen, dass Bedrohungsakteure die neue Abhängigkeit von vir­tuellen Lösungen aktiv auszunutzen versuchten.

Die Pandemie mag die Situation verschärft haben, die Rahmenbedingungen stimmten jedoch schon vorher wenig optimistisch. Bildungseinrichtungen verfügen über eine Menge hochsensibler Daten; mit Ausnahme des Gesundheitswesens, vielleicht sogar mehr als jede andere Branche.

Neben persönlichen Daten wie Name, Adresse und Geburtsdatum sind oftmals Bankdaten, Ausweis- oder Sozialversicherungsnummern, Gesundheitsdaten und vieles mehr gespeichert. Man braucht nicht viel Fantasie, um zu begreifen, dass diese Daten für cyberkriminelle Akteure äus­serst gewinnbringend wären.

Es ist allgemein bekannt, dass die Mehrzahl aller Attacken per E-Mail ihren Anfang nehmen. Recherchen von Proofpoint ergaben einen Anteil von über 90 Prozent für E-Mail-basierte Attacken. Auch die eingangs erwähnten Angriffe auf Schweizer Universitäten begannen mit einer Phishing-E-Mail und folgen hiermit dem bekannten und leider dennoch sehr erfolgreichen Muster.

Gemeinsam haben viele Angriffe nicht nur den Bedrohungsvektor E-Mail, sondern auch die Tatsache, dass sie auf die Interaktion eines Nutzers angewiesen sind, um erfolgreich zu sein. Hierzu zählen der Klick auf einen gefährlichen Link, die Eingabe von Login-Informationen in eine gefälschte Eingabemaske, die Aktivierung eines Makros, das entsprechenden Schadcode nachlädt, oder aber die Weitergabe sensibler Daten.

Man mag nun annehmen, dass die jüngere Generation, die aktuell die Hochschulen hierzulande besucht, ein gutes oder sogar besseres Verständnis für Cybersicherheit mitbringt, besonders im Vergleich zu den älteren Jahrgängen. Doch diese Einschätzung trifft leider nicht zu. Der jährlich erscheinende State-of-the-Phish-Bericht von Proofpoint kommt regelmässig zum Ergebnis, dass das Gegenteil der Fall ist. So ist die jüngere Generation oft lockerer im Umgang mit IT-Equipment, Apps und neuen Medien. Dieser entspannte Umgang äussert sich aber auch in der Verwendung schwacher Passwörter. Ebenso ist die Weitergabe und Wiederverwendung von Zugangsdaten und Passwörtern vor allem unter Studenten weitverbreitet.

Zusätzliches Öl ins Feuer gegossen wird durch den Mangel an IT-Sicherheitsressourcen, die Bildungseinrichtungen oftmals zu beklagen haben. Denn grosse IT-Budgets bleiben für viele Einrichtungen des öffentlichen Sektors lediglich ein Wunschtraum. Auch können hoch qualifizierte Security-Fachleute im privaten Sektor deutlich mehr Geld verdienen. Für Cyberkriminelle gleicht die Situation einem Hauptgewinn: Wertvolle Daten und ein niedriges Schutz­niveau ergeben einen potenziellen Jackpot!

Wie bereits festgestellt, erfordern annähernd 100 Prozent aller Cyberangriffe eine menschliche Interaktion, um erfolgreich zu sein. Dies bietet aber auch eine Chance, denn sobald diese menschliche Interaktion nicht stattfindet, der Nutzer also nicht auf die Betrugsversuche der kriminellen Akteure hereinfällt, könnten Attacken im Keim erstickt werden. Hochschulen sollten sicherstellen, dass alle Mitarbeiter und Studenten über die grundlegende Sicherheitshygiene und die Mechanismen gängiger Bedrohungen informiert sind. Diese Schulungen des Sicherheitsbewusstseins können erwiesenermassen das Risiko erfolgreicher Angriffe deutlich reduzieren, müssen aber möglichst realistisch aussehen. Die Studierenden sollten also nicht nur in der Theorie verstehen, welche verschiedenen Angriffsvektoren und -mechanismen es gibt.

Dieser Lernprozess muss auch in der Praxis eingeübt werden. Neben gründlichen und fortlaufenden Schulungen sind deshalb simulierte Angriffe zu empfehlen. Abseits der Schulungen gibt es auch auf technischer Ebene bewährte Vorgehensweisen, um im Rahmen einer personenorientierten Cybersicherheitsstrategie das Risiko erfolgreicher Angriffe zu senken. Auch hier sollte die E-Mail-Sicherheit oberste Priorität geniessen, doch können adaptive Tools und Kontrollen für den Remote-Zugang wie eine Multi-Faktor-Authentifizierung, Isolationstechnologien und Investitionen in Cloud-Sicherheit notwendig sein, beispielsweise mittels einer CASB-Lösung (Cloud Access Security Broker).

Wir wissen noch nicht, wie lange Remote E-Learning ein fester Bestandteil des Studentenlebens sein wird. Sicher ist jedoch, dass die Cyberbedrohung für Universitäten noch lange nach der Rückkehr in die Lehranstalten selbst bestehen wird. Deshalb gilt es, modernste Technik mit geschulten, sensibilisierten Studierenden und Mitarbeitern zu kombinieren, um für eine nachhaltige Verbesserung der IT-Sicherheit in Bildungseinrichtungen zu sorgen.