
Bildungsinstitutionen in der Schweiz sind zunehmend Ziel von Cyberangriffen, die oft schwerwiegende Folgen für den Schulbetrieb haben. Insbesondere im Bereich Datenschutz, der im Bildungsbereich aufgrund der besonders schützenswerten Personendaten einen hohen Stellenwert hat, können die Folgen schwerwiegend sein. Vorfälle der letzten Jahre in der Schweiz zeigen deutlich, dass keine Institution vollkommen vor Cyberbedrohungen sicher sein kann. Unabhängig von ihrer Grösse oder ihrem Sicherheitsniveau sind alle Schulen oder Bildungsverwaltungen potenziell gefährdet, Opfer von Cyberkriminalität zu werden.
Im Folgenden betrachten wir verschiedene Cybervorfälle an Schweizer Bildungsinstitutionen und erörtern, welche Lehren daraus gezogen werden können. Unser Ziel ist es, dass Bildungseinrichtungen ein besseres Verständnis für die Gefahren der digitalen Welt entwickeln. Weiter möchten wir praktische Handlungsempfehlungen geben, wie Bildungseinrichtungen ihre Resilienz im Bereich der Informations- und Kommunikationtechnologien (IKT) erhöhen können.
« Die Organisationen unterscheiden sich nicht dadurch, ob sie angegriffen werden oder nicht, sondern wie sie im Falle eines erfolgten Angriffs damit umgehen. »
Thomas Wenk, Leiter Digitalisierung und Informatik DIG-IT, Basel-Stadt, erfolgter Cyberangriff im Januar 2023
Die folgende interaktive Karte bietet eine Übersicht über alle uns bekannten Cyberangriffe auf Bildungsinstitutionen in der Schweiz. Jeder Punkt auf der Karte repräsentiert einen Vorfall. Er liefert detaillierte Informationen zu Art und Umfang des Angriffs, sowie der getroffenen Massnahmen im Nachgang des Angriffs. Diese Visualisierung verdeutlicht die Notwendigkeit eines Informationssicherheitskonzepts.
Klicken Sie auf das Vorschaubild um die interaktive Grafik zu öffnen. Durch Klicken auf die jeweiligen Kreise finden sich weiterführende Informationen zu den Cybervorfällen. Zur interaktiven Karte
Wer sind die Angreiferinnen und Angreifer?
Hacker, die Bildungsinstitutionen in der Schweiz angreifen, sind Cyberkriminelle, die primär mit dem Ziel agieren, Geld zu erpressen. Diese Cyberkriminellen denken wirtschaftlich. Sie suchen nach dem einfachsten und effizientesten Weg, ihre Ziele zu erreichen. Anstatt aufwändige und personalisierte Angriffe durchzuführen, setzen sie häufig auf leicht zu automatisierende Methoden. Diese erlauben es, eine Vielzahl an unspezifischen Zielen parallel anzugreifen.
Massgeschneiderte Angriffe auf Bildungsinstitutionen sind dabei eher selten. Diese so genannten Advanced Persistent Threats (APTs) sind gezielte und langanhaltende Angriffe, die auf eine bestimmte Organisation ausgerichtet sind. Diese Art von Angriff erfordert erhebliches technisches Wissen und Ressourcen. Die angreifenden Personen verfolgen dabei das Ziel, über einen längeren Zeitraum unbemerkt im System zu bleiben, um wertvolle Informationen zu sammeln oder erheblichen Schaden anzurichten.
Was sind die Angriffsmethoden?
Eine der gängigsten Methoden ist der Versand von Phishing-Mails (siehe Beitrag Cyberkriminelle und ihre Vorgehensweisen). Davon zeugen in der obigen Karte beispielsweise die Vorfälle bei der Universität Freiburg, der Schule Muri oder bei Educa. Diese E-Mails enthalten bösartige Links oder Anhänge, die beim Anklicken oder Öffnen die Systeme der Opfer infizieren, um unter anderem Anmeldedaten zu stehlen. Der Vorteil für die Angreiferinnen und Angreifer ist klar: Phishing-Mails lassen sich schnell und kostengünstig versenden. Dadurch erhöht sich die Wahrscheinlichkeit, dass zumindest ein Teil der Empfängerinnen oder Empfänger auf die Links oder Anhänge klicken.
Ein weiteres beliebtes Angriffsmittel ist das Ausnutzen von Sicherheitslücken in nicht aktualisierten Systemen, zum Beispiel wie bei den Angriffen auf die Gemeinde Rolle oder den Bezirk March. Diese Sicherheitslücken sind oft gut dokumentiert, so dass Cyberkriminelle die Schwachstellen leicht ausnutzen können. Hierbei ist meist kein vertieftes Informatikwissen erforderlich. Entsprechend ist diese Vorgehensweise besonders attraktiv für Kriminelle, da sie mit minimalem Aufwand maximalen Schaden anrichten können.
Nachdem eine angreifende Person Zugang zu einem System erhalten hat, versucht sie oft, ihre Berechtigungen zu erhöhen (gain of privilege). So erhält sie Zugang zu sensibleren Bereichen des Netzwerks. Dies kann durch das Ausnutzen von Schwachstellen oder durch den Diebstahl von Anmeldedaten erfolgen. Sobald sie höhere Berechtigungen erlangt hat, bewegt sie sich so genannt seitlich durch das Netzwerk (lateral movement), um weitere Systeme zu kompromittieren. Diese Technik ermöglicht es der Angreiferin oder dem Angreifer, sich tiefer im Netzwerk zu verankern und Zugang zu kritischen Daten und Systemen zu erhalten.
Im nächsten Schritt kann die Angreiferin oder der Angreifer damit beginnen, Daten zu verschlüsseln, um sie unbrauchbar zu machen. Anschliessend folgt eine Lösegeldforderung für deren Entschlüsselung (Ransomware-Angriff). Eine solche Strategie wurde beispielsweise bei den Angriffen auf die Universitäten Neuenburg und Liechtenstein oder auf die Gymnasien in Frauenfeld und in Payerne verfolgt. Zusätzlich können sensible Daten abgezogen und die Institution auf Reputationsschaden erpresst werden. Diese Strategie verfolgten die Kriminellen beim Angriff auf das Erziehungsdepartement Basel-Stadt.
Lehren aus den Vorfällen
Die ganzheitliche Implementierung von Informationssicherheit ist die beste Schutzmassnahme gegen Cyberangriffe. Gut vorbereitet zu sein ist entsprechend die wichtigste Massnahme, um effektiv auf einen Cyberangriff reagieren zu können.
« Mit dem aktuellen Wissen über Cybersecurity sehe ich, wie wichtig es gewesen wäre, die Fragen, die mir heute klar sind, schon damals gestellt zu haben und darauf zu reagieren. »
Thomas Weber, Gesamtschulleiter / Abteilungsleiter Volksschule Gemeinde Muri, erfolgter Cyberangriff im Oktober 2023
Die zentralen Fragestellungen sollten bereits bei der Erstellung des IT-Konzepts geklärt werden. Insbesondere die Antworten auf folgende Fragen sollten festgehalten und griffbereit sein:
- Wissen die Mitarbeitenden, wie sie sich im Krisenfall verhalten sollen?
- Wer ist im Krisenfall zu informieren?
- Welche Notfallnummern und Kontaktinformationen sind notwendig?
- Welche Sofortmassnahmen sind zu ergreifen?
- Wer ist für die Koordination und das Management des Vorfalls zuständig?
Das Bundesamt für Cybersicherheit (BACS) rät zudem davon ab, Lösegeld zu bezahlen. Wenn eine Institution einmal auf die Forderungen von Cyberkriminellen eingeht und zahlt, signalisiert sie, dass solche Angriffe erfolgreich sein können. Dies erhöht das Risiko, dass die Institution erneut Ziel eines Angriffs wird oder weitere Forderungen gestellt werden. Zudem finanziert man so weitere kriminelle Aktivitäten und trägt zur Verstärkung des Problems bei.
Durch unseren Informationssicherheits-Check erfahren Sie, wo Ihre Institution betreffend Organisation, Mensch, Infrastruktur und Technik in Hinblick auf Informationssicherheit steht. Die Evaluation zeigt Handlungsbedarf auf und formuliert gezielte Empfehlungen zur Verbesserung.