Forschungs- und Bildungseinrichtungen auf der ganzen Welt – auch in Deutschland – sind nach wie vor sehr anfällig für Ransomware-Attacken. So wurde die Universität Duisburg-Essen im November 2022 Opfer eines Ransomware-Angriffs und ging erst 2023 wieder online. In den ersten beiden Monaten des laufenden Jahres haben laut des IT-Marktforschungsunternehmens KonBriefing bereits 22 solche Angriffe stattgefunden. Besonders verwundbar sind Hochschulen, weil eine Vielzahl von Mitarbeitern, aber auch Studenten und Auftragnehmer regelmäßig die Netzwerke nutzen, mit anderen Einrichtungen kommunizieren und Links zu Daten und Ressourcen außerhalb des jeweiligen internen Netzes austauschen.
Diese Faktoren erklärten, neben veralteten Betriebssystemen, die sich noch immer in zahlreichen Labors finden, zum Teil die Anfälligkeit des Sektors für Cyber-Angriffe, sind sich Beobachter wie der IT- und Telekommunikationsanbieter Verizon oder der Anbieter von IT-Sicherheitstrainings KnowBe4 einig. Mangelnde Sicherheitsvorkehrungen sind allerdings ein weiterer Grund, weswegen Cyber-Kriminelle gern Bildungseinrichtungen ins Visier nehmen. Wie sehr die IT-Sicherheit allein an deutschen Hochschulen vernachlässigt wird, dokumentierten jüngst Journalisten des Magazins RiffReporter. Ein breit angelegter Test ergab, dass sich die 70 größten Einrichtungen mit einfachen Methoden hacken ließen und dabei bekannte Schwachstellen offenbarten, die einfach hätten geschlossen werden können: allein schon durch Befolgen der OWASP Top-10-Richtlinien.
Solche Schwachstellen zu beheben, ist von entscheidender Bedeutung, warnt Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4, denn Ransomware-Gruppen wie Royal oder LockBit werden den Bildungssektor weiterhin attackieren, wenn sich dort persönliche Informationen besonders leicht erbeuten lassen. Schließlich sind persönliche Daten ein hervorragendes Druckmittel für Erpressungen – auch gegenüber den Universitäten selbst, da die Organisationen Rechtsstreitigkeiten befürchten müssen, wenn die Daten nach dem Angriff veröffentlicht werden. So zeigt denn auch der Cyber Threat Report des US-amerikanischen IT-Sicherheitsanbieters SonicWall für den Bildungssektor einen Anstieg der Ransomware-Angriffe in 2023 um 275 Prozent.
Institutionen des Bildungssektors müssen sich dringend besser auf Angriffe vorbereiten, da Cyber-Kriminelle auf den wachsenden Bestand an in vorausgehenden Schadkampagnen gesammelten Listen von E-Mail-Adressen und Passwörtern zurückgreifen können, um Brute-Force-Angriffe auf Authentifizierungs- und Autorisierungsmechanismen durchzuführen. Dass entsprechende Sicherheitsmaßnahmen durchaus effektiv sind, zeigt unter anderem das Beispiel der Universität Ilmenau, die einen groß angelegten Brute-Force-Angriff abwehren konnte. Zumindest die Veröffentlichungen der Non-Profit-Organisation für IT-Sicherheit OWASP (Open Web Application Security Project) zu den jeweils aktuell weltweit größten Bedrohungen und Sicherheitslücken sollten Forschungs- und Bildungseinrichtungen mit ihren durchaus sensiblen Daten zur Kenntnis nehmen, mahnt KnowBe4-Sicherheitsexperte Krämer, und als Anstoß zur Entwicklung einer ganzheitlichen Abwehrstrategie gegenüber Cyber-Risiken nutzen, die auch den menschlichen Faktor miteinbezieht.
