Digitale Schule Schulen werden von Kriminellen angegriffen – aber auch von Schülern

Autor Melanie Staudacher

Öfter, als man denkt, spielen Schüler Streiche und greifen Schulsysteme an. Doch egal, ob Schüler oder Krimineller: Schulen brauchen Sicherheitskonzepte. Werkzeuge dafür sind das Zugriffsmanagement und die Security Awareness.

Firmen zum Thema

Schulen benötigen Sicherheitskonzepte, um sich vor Kriminellen, aber auch vor Schülerstreichen zu schützen.
Schulen benötigen Sicherheitskonzepte, um sich vor Kriminellen, aber auch vor Schülerstreichen zu schützen.
(Bild: triocean - stock.adobe.com)

Ein 14-Jähriger soll einen Denial-of-Service-Angriff auf eine Lernplattform begangen haben, wie der SWR im Februar berichtete. Mit dem Hackerangriff auf das System hatte er den Fernunterricht mehrerer Schulen in Rheinland-Pfalz im Januar komplett lahmgelegt. Die Ermittler warfen dem Jugendlichen Sabotage vor. Die Staatsanwaltschaft prüfte, welche „erzieherischen Maßnahmen“ in diesem Fall angemessen waren.

Dass Schüler den eigenen Fernunterricht stören, ist keine Seltenheit. Denn die Videokonferenzen und Chats vieler Open-Source-Plattformen, wie Jitsi oder Big Blue Button, die Schulen gerne nutzen, aber auch bei Microsoft Teams und Zoom, sind frei zugänglich, sobald der Konferenzname oder ein Einwahllink vorhanden sind.

Patric Raiber, Head of Sales Public Sector bei ACP: „Da das Wissen und die Ressourcen für den Aufbau einer Security-Strategie in Schulen oftmals nicht vorhanden sind, lohnt es sich, einen IT-Dienstleister mit breitem Security Knowhow mit an Bord zu nehmen.“
Patric Raiber, Head of Sales Public Sector bei ACP: „Da das Wissen und die Ressourcen für den Aufbau einer Security-Strategie in Schulen oftmals nicht vorhanden sind, lohnt es sich, einen IT-Dienstleister mit breitem Security Knowhow mit an Bord zu nehmen.“
(Bild: ACP)

„Leider kommt das immer wieder vor“, berichtet Patric Raiber, Head of Public Sector bei ACP. „Aus Erfahrung gehen viele Attacken auf die Konten von experimentellen Schülern, auch unerlaubte Zugriffe auf Daten oder Programme. Indem mehr und mehr digitale Medien Einzug in den Unterricht halten, wird deren Experimentierfreude künftig sicherlich weiter zunehmen.“ Doch was, wenn nicht die Schüler selbst Freunde in den Chat einladen, um das Homeschooling zu stören, sondern die Konferenz von einem Kriminellen gehackt wird?

Mangelnde IT-Sicherheit an Schulen

Die kurzfristige Umstellung auf virtuelle Lernumgebungen hat der IT-Sicherheit nicht gut getan. Nicht nur, aber vor allem Zoom hat in den vergangenen Corona-Jahren an Beliebtheit gewonnen und deshalb mit vielen Eindringlingen zu kämpfen gehabt. Medien berichteten regelmäßig davon, dass Hacker in den Meetings Pornos abspielten oder diese anderweitig störten.

Abhilfe sollen Warteräume, Passwörter und End-to-End-Verschlüsselungen schaffen sowie mehr Eingriffsmöglichkeiten für die Moderatoren. Doch auch Überlastungsangriffe, durch die die Plattformen zusammenbrechen und Phishing E-Mails, mit denen Daten verschlüsselt werden, um Lösegeld zu erpressen, gehören zu den Methoden.

Dr. Janina-Vanessa Schneider, Spezialistin für vertikale Märkte bei Also: „Dort, wo Partner integriert sind, ist das Schutzniveau an Schulen besser. Aber durch Investitionsstaus, die bedingt sind durch knappe Budgets und viel Bürokratie, sind wir in der Breite noch nicht, wo wir sein sollten.“
Dr. Janina-Vanessa Schneider, Spezialistin für vertikale Märkte bei Also: „Dort, wo Partner integriert sind, ist das Schutzniveau an Schulen besser. Aber durch Investitionsstaus, die bedingt sind durch knappe Budgets und viel Bürokratie, sind wir in der Breite noch nicht, wo wir sein sollten.“
(Bild: Also)

Unterschieden wird an Bildungseinrichtungen zwischen dem Verwaltungsnetz und dem pädagogischen Netz. Letzteres bietet die Infrastruktur für die oben genannten Plattformen. Oftmals sind die Netze schlecht abgesichert, wie Dr. Janina-Vanessa Schneider, Business Development Manager Vertical Markets beim Distributor Also, berichtet. Deshalb können Angreifer hier mit einfachsten Mitteln Passwörter stehlen.

Die Beute, die die Hacker im Verwaltungsnetz machen können, ist allerdings weitaus brisanter. Denn zum Verwaltungsnetz gehören Rechner der Schulleitung und des Sekretariats. Dort speichern die Angestellten personenbezogene Daten, Zeugnisse und Beurteilungen. Eine Trennung der beiden Netze ist deshalb laut Schneider unbedingt notwendig.

Martin Weiß, Security-Experte für den Public-Bereich bei Sophos
Martin Weiß, Security-Experte für den Public-Bereich bei Sophos
(Bild: Sophos)

„Zeit, um über Sicherheit nachzudenken oder grundlegende Cybersicherheitsschulungen für alle Benutzer durchzuführen, blieb dabei nur sehr wenig“, sagt Martin Weiß, Security-Experte für den Public-Bereich bei Sophos. „Das hat die Anfälligkeit des Sektors noch einmal erheblich gesteigert.“

Der Experte berichtet von veralteten Infrastrukturen und Silo-Lösungen. Dabei sind Schulen wie Unternehmen auch auf Perimeterschutz durch Firewalls, Endpoint Security an Clients und Server-Systemen und die sichere Einbindung mobiler Endgeräte angewiesen.

Raiber ergänzt: „Der Netzzugriff muss kontrolliert werden. Ein komplexes Passwort für die Schuldomäne sollte ebenso selbstverständlich sein wie der Einsatz von Produkten mit hohen Sicherheitsstandards. Es gibt aber leider immer noch Schulen, die neben Enterprise-Produkten auch Consumer-Geräte zulassen, die oftmals wesentlich schlechter abgesichert sind.“ Es zeigt sich deutlich, dass an Schulen klare Vorgaben und einheitliche Sicherheitsstandards fehlen.

Zugriffsmanagement für Bildungseinrichtungen

Mit dem DigitalPakt Schule wollen Bund und Länder vornehmlich die Anschaffung von Hardware und die WLAN-Infrastruktur fördern und Bildungseinrichtungen digitaler machen.

Ingo Steuwer, Head of Product Management bei Univention
Ingo Steuwer, Head of Product Management bei Univention
(Bild: Univention)

Mittel zur Beschaffung von Software sind laut Ingo Steuwer, Head of Product Management bei Univention, nur zu einem kleinen Teil vorgesehen. Dabei sollten die Schulnetze mit Software für das Zugriffsmanagement abgesichert werden.

Dafür bietet Univention eine Open-Source-Plattform, mit der Schulen ihre IT sowie sämtliche Identitäten verwalten können. Dank des zentralen Managements der Identitäten und ihres Zugriffs, geht Steuwer zufolge in der Regel eine Reduktion der verwendeten Accounts einher. „Das Risiko kursierender Passwortlisten, die leicht verloren gehen, oder im Falle einer Kompromittierung die vielen Orte zu identifizieren, an denen ein Account gesperrt werden muss, verringert sich drastisch.“

DigitalPakt Schule und Managed Security Services

Wollen Schulen die Betreuung ihrer IT auslagern, stehen MSPs und Systemhäuser beratend zur Seite. „Wir bieten Managed Security Services an“, sagt Raiber. „Das heißt, wir setzen Bestandteile der Sicherheitsstrategie wie Firewall, Network Access Control oder Endpoint Protection nicht nur auf, sondern kümmern uns auch um den reibungslosen Betrieb. Indem wir die implementierten Lösungen auch monitoren, bemerken wir ungewöhnliche Vorgänge schnell und sind im Ernstfall so auch schnell handlungsfähig.“

Die Bereitschaft, die Digitalisierung anzugehen, ist an Bildungseinrichtungen deutlich spürbar. Schulen und Schulträger nehmen die Mittel aus dem DigitalPakt zunehmend in Anspruch.

Dennoch muss das Sicherheitskonzept ganzheitlich betrachtet werden. Lediglich die Anschaffung von Sicherheitslösungen reicht nicht aus. Neben den Schulmitarbeitern müssen vor allem die Schüler für die IT-Sicherheit sensibilisiert werden. Dabei sollten alle Beteiligten bedenken, dass es sich bei den Kindern und Teenagern nicht um klassische Endkunden handelt. Die Maßnahmen für die Security Awareness müssen pädagogisch und leicht verständlich aufbereitet sein. „Besonders hilfreich hat sich nach unserer Erfahrung der Einsatz von Phishing-Simulationstools erwiesen, mit denen Schüler auf spielerische Weise an das Problem herangeführt werden und dennoch ein großer Lerneffekt eintritt“, sagt Weiß.

Um die Experimentierfreude der Kinder zu stillen, ohne Schaden damit anzurichten, bietet etwa die Hacker School mit dem Angebot „@yourschool“ Projekte an Schulen an, bei denen Schüler selbst programmieren dürfen und an IT-Berufe herangeführt werden.

(ID:47760765)