IT-Sicherheit im Bildungssektor Bildungsplattformen vor Cyber-Angriffen schützen

Autor / Redakteur: Christian Syrbe* / Ira Zahorsky

Durch die Covid-Pandemie haben digitale Bildungsangebote erheblich an Bedeutung gewonnen. Doch das ist mit Risiken verbunden. Denn Cyber-Angriffe auf unzureichend geschützte Lernplattformen häufen sich. Daher sind Schutzmaßnahmen erforderlich, um die Verfügbarkeit und Sicherheit solcher Angebote zu garantieren.

Firmen zum Thema

Die Absicherung von digitalen Bildungssystemen ist essentiell. Dazu kann auch Geld aus dem DigitalPakt-Topf eingesetzt werden.
Die Absicherung von digitalen Bildungssystemen ist essentiell. Dazu kann auch Geld aus dem DigitalPakt-Topf eingesetzt werden.
(© Yingyaipumi - stock.adobe.com)

Im Januar 2021 traf es die Lernplattform moodle@RLP in Rheinland-Pfalz, im Februar das Lernportal für Schüler in Thüringen und im April war die Lernplattform Schul-Cloud des Hasso-Plattner-Instituts das Ziel, die Schulen in Brandenburg für das Homeschooling nutzen. In allen Fällen führten „Distributed-Denial-of-Service“-Angriffe (DDoS) dazu, dass die Angebote der Plattformen für Schüler sowie die Lehrkräfte zeitweilig nicht verfügbar waren.

Laut dem „Threat Intelligence Report“ des IT-Sicherheitsunternehmens Netscout nahmen Bildungseinrichtungen im zweiten Halbjahr 2020 in der Rangliste der beliebtesten Ziele von DDoS-Angriffen den dritten Platz ein, nach Finanzdienstleistern und staatlichen Einrichtungen. Bei DDoS-Angriffen werden die Lernplattformen mit gefälschten Anfragen von vermeintlichen Nutzern überschwemmt. Die Folge: Server sowie Netzwerk- und IT-Sicherheitssysteme werden überlastet. Die Plattform ist dadurch für Schüler, Studierende und Lehrkräfte nicht mehr erreichbar.

Solche Anfragen starten Angreifer gleichzeitig von Tausenden, teilweise sogar von Millionen Rechnern aus, über die sie ohne Wissen der Nutzer die Kontrolle übernommen haben. Mittlerweile werden auch „Internet-of-Things“-Systeme (IoT) für derartige Attacken verwendet. Dazu gehören Drucker und digitale Whiteboards, die eine eigene IP-Adresse haben.

Motive: Von Schulfrust bis Sabotage

DDoS-Attacken werden aus unterschiedlichen Motiven durchgeführt. Im Fall der Plattform in Rheinland-Pfalz war es ein 14-jähriger Jugendlicher, der vermutlich dem Schulsystem einen Streich spielen wollte. Hacker, die im Auftrag von Staaten handeln, wollen dagegen das Bildungssystem anderer Länder sabotieren. Ein drittes Motiv ist der Diebstahl von geistigem Eigentum. Denn DDoS-Angriffe beeinträchtigen nicht nur digitale Lernplattformen. Sie stören auch die Funktion von IT-Sicherheitssystemen wie Firewalls. Deshalb nutzen Hacker DDoS-Attacken dazu, um Angriffe auf Server und Netzwerksysteme zu tarnen.

Sobald es den Angreifern gelungen ist, in das Netzwerk einer Bildungseinrichtung oder einer Hochschule einzudringen, entwenden sie beispielsweise Forschungsunterlagen, Adressdaten und weitere sensible Informationen. Diese machen sie entweder zu Geld oder verwenden sie für weitere Angriffe, etwa indem sie gefälschte eMails mit Erpressersoftware („Ransomware“) im Anhang im Namen von Lehrkräften und Dozenten versenden.

Ransomware: Festplatten und SSDs werden verschlüsselt

Eine Ransomware verschlüsselt die Festplatte des Rechners, wenn ein Nutzer auf Word-Dateien oder PDF-Dokumente klickt, die ihm – angeblich – eine andere Lehrkraft oder ein Schüler geschickt hat. Die Schadsoftware kann außerdem weitere IT-Systeme infizieren, die sie im Netzwerk findet. In den meisten Fällen verlangt der Angreifer ein Lösegeld für den Entschlüsselungscode, mit dem sich die Datenspeicher wieder lesbar machen lassen.

Die Polizei, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und IT-Sicherheitsexperten raten allerdings davon ab, die geforderte Summe zu zahlen. Denn in etlichen Fällen haben die Betroffenen vergebens darauf gewartet, dass ihnen der Angreifer den Entschlüsselungscode übermittelt. Ein weiteres Motiv für Ransomware ist Sabotage, oft initiiert von anderen Staaten. Unternehmen, Behörden und Bildungseinrichtungen sollen in ihrer Tätigkeit beeinträchtigt werden.

DigitalPakt soll Digitalisierung voranbringen

Auch wenn es nicht ihre primäre Aufgabe ist, müssen sich Mitarbeiter im Bildungsbereich mit Themen wie DDoS-Angriffen, Ransomware und dem Schutz von IT-Systemen und Lernplattformen auseinandersetzen. Das gilt beispielsweise für Schulen. Denn als Folge der Corona-Pandemie hat der Bund 2020 den „DigitalPakt Schule“ erweitert und stellt zusätzliche Mittel für die Digitalisierung von Schulen bereit. Die Bundesländer wiederum haben sich dazu verpflichtet, die „digitale Bildung durch pädagogische Konzepte, Anpassung von Lehrplänen und Umgestaltung der Lehrerausbildung und -weiterbildung umzusetzen“, so das Bundesministerium für Bildung und Forschung in einer Mitteilung.

Die Maßnahmen sollen dazu beitragen, die Defizite im Bereich digitale Bildung zu beseitigen. Diese hat der Wissenschaftliche Beirat beim Bundesministerium für Wirtschaft und Energie (BMWi) im Gutachten „Digitalisierung in Deutschland – Lehren aus der Corona-Krise“ kritisiert, das im März 2021 veröffentlicht wurde.

Welche IT-Schutzmaßnahmen zur Verfügung stehen

Um die Lernplattformen von Schulen, Universitäten und anderen Bildungseinrichtungen vor DDoS-Angriffen zu schützen, empfiehlt es sich, auf die Unterstützung von IT-Sicherheitsunternehmen zurückzugreifen, die sich auf die Abwehr solcher Attacken spezialisiert haben. Denn in der Regel verfügen nur solche Spezialisten über die Expertise und die technischen Mittel, um DDoS-Attacken zu erkennen und zu blockieren. Sicherheitssysteme wie Gateways und Firewall sind nicht in der Lage, DDoS-Angriffe abzuwehren.

DDoS-Mitigation-Provider analysieren beispielsweise in eigenen Rechenzentren den Datenverkehr, der für eine Lernplattform bestimmt ist. Häufen sich Zugriffsversuche von verdächtigen Rechnern oder IoT-Systemen, filtern die IT-Sicherheitssysteme des Providers diese Anfragen aus. Die Server und die Netzwerkschnittstellen der Lernplattform werden nicht überlastet und stehen den Nutzern weiterhin zur Verfügung.

Das BSI hat eine pdf-Liste mit qualifizierten DDoS-Mitigation-Dienstleistern zusammengestellt. Ein wichtiger Punkt bei der Auswahl war, dass die Anbieter die Datenschutzvorgaben einhalten, die in Deutschland und der EU gelten (DSGVO). Außerdem bieten die Provider an, den Datenverkehr der Nutzer ausschließlich über Rechenzentren in Deutschland zu leiten und dort zu analysieren.

Netze segmentieren

Ein weiteres Mittel, um DDoS- und Ransomware-Angriff abzuwehren, besteht darin, das Netzwerk von Schulen und Bildungseinrichtungen in mehrere, voneinander getrennte Segmente aufzuteilen. Diese Segmente sind nur über abgesicherte Kommunikationspfade verbunden. Die Aufteilung in Segmente funktioniert wie eine Brandschneise. Sie verhindert, dass sich eine DDoS-Attacke oder eine Verschlüsselungssoftware im gesamten Schulnetzwerk ausbreiten kann.

Eine Segmentierung kann beispielsweise so aussehen: ein Segment enthält ausschließlich Web-Server, über die externe Dienste wie die Lernplattform angeboten werden. Ein zweites Segment ist für den eMail-Server der Bildungseinrichtung und für Systeme („Proxys“) reserviert, über die Mitarbeiter der Einrichtung auf das Internet zugreifen. Ein drittes Segment enthält Web-Server, die sowohl für die interne als auch externe Nutzung vorgesehen sind.

Spezielle Schutzsysteme einsetzen – und den eigenen Kopf

Um Erpressersoftware auszuschalten, kommt außerdem der Einsatz spezieller Sicherheitssysteme in Betracht. Sie werden am Rand des Netzwerks installiert. Solche Systeme bilden eine erste Verteidigungslinie gegen DDoS-Angriffe. Außerdem blockieren sie Schadsoftware, mit der Cyber-Kriminelle und „Staats-Hacker“ Erpressersoftware auf Rechnern im Netz einer Bildungseinrichtung einschleusen wollen.

Mindestens ebenso wichtig wie IT-Sicherheitssysteme ist jedoch ein weiterer Punkt: der gesunde Menschenverstand. So sollten Schüler sowie Lehrkräfte ein gesundes Misstrauen an den Tag legen, wenn sie eMails mit verdächtigen Dateianhängen erhalten. In solchen Fällen ist es angeraten, die Datei vor dem Öffnen von der Antivirensoftware untersuchen zu lassen, über die jeder Rechner verfügen sollte.

Risiken durch externe Rechner

Die Gefahr, dass Schadsoftware über die Rechner der externen Nutzer einer Lernplattform in das Schulnetzwerk gelangt, hat sich deutlich erhöht. Denn ein beträchtlicher Teil der Schüler und Studierenden verwendet private Rechner, um mit den Bildungseinrichtungen zu kommunizieren und um auf Lernplattformen zuzugreifen.

Für die Lehrkräfte und die IT-Fachleute einer Schule oder Universität ist jedoch nicht nachvollziehbar, ob auf diesen Systemen regelmäßig Sicherheitsupdates für die installierte Software eingespielt werden oder ob sie über eine aktuelle Antiviren-Software verfügen. Umso wachsamer sollten Bildungseinrichtungen sein und ihre Schutzmaßnahmen gegen Cyber-Angriffe ausbauen.

Christian Syrbe, Netscout
Christian Syrbe, Netscout
(Bild: Netscout)

*Der Autor, Christian Syrbe, ist Chief Solutions Architect bei Netscout.

(ID:47470622)