IT-Sicherheit in Bildungseinrichtungen
- Home
- IT-Sicherheit in Bildungseinrichtungen
IT-Sicherheit in Bildungseinrichtungen
Tatort Bildungseinrichtungen:
Kriminelle Angreifer nehmen Schulen ins Visier
IT-Attacken auf Schulen und Universitäten nehmen zu. Die Angreifer versprechen sich leichte Beute, da der Schutz der IT in dem Sektor oft vernachlässigt wird. Ein attraktives Ziel für Kriminelle, da die Bildungseinrichtungen über große Mengen an sensiblen Daten verfügen und die Sicherheitsmaßnahmen oft unzureichend sind. Die zunehmende Digitalisierung des Bildungssektors, vor allem durch den Bedarf an E-Learning-Plattformen während der Corona-Krise, hat die Angriffsfläche stark vergrößert, berichtete die Computerwoche.
Die TMK kann die aktuelle Einschätzung der Sicherheitsexperten nur bestätigen. Maximilian Zöller und Alexander Utz treiben bei der TMK gemeinsam mit Landkreisen und Kommunen die Digitalisierung und IT-Sicherheit an Schulen voran. Das TMK-IT-Sicherheitsteam beobachtet wachsende Nachfrage der Landkreise und Kommunen und wird immer häufiger um Rat gefragt. „Meist ist den Verantwortlichen die Komplexität des Sicherheitsthemas nicht bewusst“, berichtet Alexander Utz. „Das bedeutet eine große Herausforderung und viel Kommunikationsarbeit.“
Ein Landkreis mit zahlreichen Schulen wurde zum Ziel von Attacken. „Dabei erfolgen die Angriffe nicht gezielt auf bestimmte Einrichtungen – es geht vielmehr um eine breit angelegte Maßnahme der Täter mit Massenmails, die darauf baut, dass ein oder zwei Empfänger einen Fehler machen und dann entsprechend erpresst werden können. Damit hat sich der Aufwand für die Angreifer schon gelohnt.“
Die Informationssicherheit verfolgt einen ganzheitlichen Ansatz und umfasst sowohl physische als auch digitale Informationen. In diesem Umfeld sind besondere Bedingungen zu berücksichtigen. „Die Angreifer gehen hoch professionell vor und sind effektiv organisiert“, beschreibt Zöller die Situation. „Die Schulen haben ohne die notwendigen Sicherheitsvorkehrungen kaum eine Möglichkeit, sich zu wehren.“
Wo liegen die Schwachstellen? Die Bestenliste wird angeführt von einem regelrechten Investitionsstau. An den Schulen treffen wir häufig auf veraltete Systeme und fehlende Software-Updates, die vorhandene Sicherheitslücken schließen. Selten fühlt sich jemand verantwortlich. Die mangelnde Sensibilität der Betreiber begünstigt diese Haltung. Ein Argument: „Was kann denn an einer Schule schon passieren? Wir haben doch keine Geheimnisse.“ Datenschutz ist allerdings an Bildungseinrichtungen nicht zu unterschätzen. Das gilt auch für die Kollateralschäden: Computer sind nicht mehr nutzbar, Smartboards und andere multimediale Lerntools fallen aus, der aktive Schulbetrieb wird empfindlich gestört.
Die beiden Berater wissen allerdings auch, welche Hürden auf öffentliche Auftraggeber zukommen, um ein tragfähiges und langfristiges Sicherheitskonzept zu implementieren.
- Zunächst muss der Bedarf erkannt und formuliert werden.
- Um das entsprechende Budget vom Schulträger zu erhalten, ist es wichtig, Bewusstsein für das Thema auch auf politischer Ebene zu schaffen.
- Dann sollten entsprechende Förderungen beantragt werden.
- Im Anschluss erfolgt die öffentliche Ausschreibung zur Erstellung eines Sicherheitskonzepts bzw. zur Umsetzung konkreter Maßnahmen.
- Klärung von Ressourcen und Verantwortung für IT-Sicherheit in der Schule.
Nach diesem anspruchsvollen Prozess unterstützt im besten Fall ein externer Berater. Die TMK erfüllt dabei folgende Projektinhalte:
- Ist-Aufnahme, Schwachstellen-Analyse und Konzeption / Maßnahmenplanung zur Erhöhung der Sicherheit im Bereich Netze, Netzwerk-Übergänge, Nutzung externer Dienste, Backup etc.
- Definition von Möglichkeiten für kontinuierliche Sicherheitsüberwachung (Software-Lösungen, Schulungen, organisatorische Maßnahmen)
- Konzepterstellung für die Verbesserung der Informationssicherheit, Erstellung und Umsetzung von Betriebsprozessen, Einführung von Risikomanagement oder Unterstützung bei der Beschaffung von konkreten Lösungen zur Verbesserung der IT-Sicherheit
Diese Analyse bzw. Konzeptphase kann bis zu einem Jahr in Anspruch nehmen. Die Umsetzung der Empfehlungen noch einmal so lange. Die Angreifer schlafen nicht und entwickeln ihre Strategien kontinuierlich weiter. Daher muss auch das Konzept ständig geprüft und angepasst werden.
„Uneingeschränkte Priorität hat aber immer die Aufrechterhaltung des Schulbetriebs.“
– Alexander Utz –
„Meist sind Informatiklehrer in den Schulen verantwortlich für das, was direkt vor Ort passiert. Unsere Ansprechpartner arbeiten allerdings bei den Schulträgern. Dort finden wir meist eine professionelle Struktur und Verständnis für die Problemstellungen vor. In einigen Fällen sind auch bereits digitale Hausmeister im Job. Sie kümmern sich um die Geräte in der IT, sie kooperieren mit Externen, sie erarbeiten IT-Hygienekonzepte und stellen somit einen nahtlosen Schulbetrieb sicher. Trotzdem bewegen wir uns in einem Spannungsfeld. Unsere Kontaktpersonen unterliegen Abhängigkeiten, die wir bei der Konzepterstellung berücksichtigen – uneingeschränkte Priorität hat aber immer die Aufrechterhaltung des Schulbetriebs“, erklärt Alexander Utz.
„Es gibt immer mehr Ausschreibungen, aber nicht in dem Maße, wie es müsste … Die Fördertöpfe sollten unkomplizierter in Anspruch genommen werden können. Das wäre für die Kommunen und Landkreise schon sehr hilfreich.“
– Maximilian Zöller –
Die Dauer und Komplexität des Projektes hat eine niedrige Frustrationsschwelle, beobachten die beiden Experten. Auch dieser gilt es, professionell zu begegnen. „Wir geben Hilfe zur Selbsthilfe. Das motiviert die Verantwortlichen zu mehr Eigeninitiative und Verantwortungsbewusstsein,“ ergänzt Alexander Utz.
Artikel vom 10.09.2024