Matthias Canisius fordert „Sicherheitskultur des Misstrauens und der Wachsamkeit“ angesichts wachsender Bedrohungen durch Cyber-Angriffe

[datensicherheit.de, 07.09.2020] Die gegenwärtige „Pandemie“-Situation hat die Digitalisierung – oder zumindest erste Schritte dorthin – auch in die Schulen getragen. Neue Technologien und Programme mussten eingeführt werden, um den Fernunterricht zu gewährleisten, und Lehrer damit beginnen, eine Reihe von Videokommunikationsmitteln wie „Zoom“ und „Microsoft Teams“ einzusetzen. Zwar sei Deutschland 2019 in einem Ranking des Center for European Policy Studies im Bereich „E-Learning“ als „unterdurchschnittlich“ eingestuft worden, aber hierbei bewege sich nun etwas, meint Matthias Canisius, „Regional Director CE & EE“ bei SentinelOne.

Foto: SentinelOne 2020

Matthias Canisius: Bedeutung des Schutzes unseres Bildungssystems vor Cyber-Bedrohungen kann nicht hoch genug eingeschätzt werden!

Zahlreiche Bedrohungen: DDoS-Attacken, Phishing, Ransomware, Trolle…

Mit der zunehmenden Abhängigkeit der Schulen von solchen Online-Anwendungen und Tablets habe auch die Zahl der Cyber-Bedrohungen zugenommen. Infolgedessen bestehe ein höheres Risiko, „dass sich Cyber-Kriminelle als Schüler oder Lehrer ausgeben“. Betrüger nutzten dies aus, „indem sie Phishing-E-Mails mit Spendenaufforderungen und Hilfsangeboten verschicken, die aus legitimen Quellen zu stammen scheinen“.
Darüber hinaus sei es in einigen Ländern bei Video-Telekonferenz-Plattformen bereits zu Vorfällen mit „Online-Trollen“ gekommen, welche den Online-Unterricht mit anstößigen Inhalten über die Bildschirmfreigabefunktionen der Plattformen gestört hätten. Cyber-Kriminelle setzten ebenso DDoS-Angriffe ein. „Ein Beispiel dafür ist die bayerische Lernplattform ,MEBIS‘, die gleich zu Beginn der Krise mit einem DDoS-Angriff außer Gefecht gesetzt wurde.“

Bildungseinrichtungen mit großer Angriffsfläche – Bedrohungen überfordern IT-Laien

Schulen speicherten persönliche Daten von Schülern sowie Lehrern und stünden in Verbindung mit vielen externen Stellen und Anbietern sowie natürlich mit den Eltern, die hauptsächlich per E-Mail mit der Schule kommunizierten. Canisius: „Dies bedeutet, dass Schulen eine sehr große Angriffsfläche haben. Zumal die IT oft Aufgabe einzelner Lehrer und nicht wirklicher IT-Experten und schon gar nicht IT-Sicherheitsexperten ist.“
Schüler und deren Eltern würden leicht zu Opfern von Phishing-Betrügereien. Die mangelnde Erfahrung in Verbindung mit der Tendenz, einfache Passwörter über mehrere Plattformen hinweg zu verwenden, mache sie anfällig für „Credential Harvesting“ – das Entwenden und Sammeln von Anmeldeinformationen. Darüber hinaus sei das Bewusstsein von Eltern, Lehrern und Dozenten in Bezug auf Cyber-Risiken im Bildungswesen oft viel geringer als in anderen Bereichen.

Wege zur Begegnung der Cyber-Bedrohungen in Schulen

„Ein Programm zur Aus- und Fortbildung des Personals in den Schulen ist wichtig, um eine Sicherheitskultur des Misstrauens und der Wachsamkeit zu schaffen“, betont Canisius: Es müssten Beispiele aus der realen Welt mit den Nutzergruppen geteilt und diese regelmäßig getestet werden. Das Risiko könne durch Sicherheitstrainings verringert, aber nicht beseitigt werden. Im Zusammenspiel mit Technologien zur Erhöhung der E-Mail-Sicherheit sehe das aber schon anders aus.
Folgendes sollte beachtet werden, um die Sicherheit der Netzwerke zu gewährleisten und sich gegen Cyberbedrohungen zu schützen:

• URL-Scannen eingehender oder archivierter E-Mails, so dass ein Klick auf Zielseiten erst dann zugelassen wird, wenn die Seite auf Malware überprüft werden kann.
• Erkennung von gefährlichen Anhängen in der Mailbox und Umleitung in eine Sandbox vor der Zustellung.
• Schutz vor Identitätswechsel und „Social Engineering“.

Privilegien der IT-Nutzung an Bedrohungen anpassen

Ransomware habe nur dann die Möglichkeit, Dateien zu ändern und zu verschlüsseln, „wenn der infizierte Benutzer dies tut“. Die Kontrolle des Benutzerzugriffs auf kritische Netzwerkressourcen sei notwendig, „um die Gefährdung zu begrenzen und sicherzustellen, dass eine seitliche (laterale) Bewegung erschwert wird“.
Daher sei es entscheidend, sicherzustellen, „dass die Privilegien aktuell und auf dem neuesten Stand sind und dass Benutzer nur auf geeignete Dateien und Netzwerkstandorte zugreifen können, die sie für ihre Aufgaben benötigen“.

Traditionelle Endpunktsicherheit unzureichend zur Abwehr von Bedrohungen

Fast alle Organisationen verfügten über Endpunktsicherheit, um das Eindringen von Ransomware zu verhindern – indes reichten statische Erkennung und Virenschutz nicht mehr aus. Es werde immer wichtiger, über fortschrittliche Funktionen für den Endpunktschutz und die Möglichkeit zu verfügen, die Endpunktverwaltung und -hygiene von einem zentralen Verwaltungssystem aus durchzuführen.
„Eine gute Endpunktsicherheit sollte mehrere statische und verhaltensbasierte Module umfassen, die Maschinelles Lernen und KI zur Beschleunigung der Erkennung und Analyse einsetzen.“ Wichtig seien auch der Schutz vor „Exploits“, die Geräte- und Zugriffskontrolle sowie die Schwachstellen- und Anwendungskontrolle. Das Hinzufügen von Endpunkterkennung und -reaktion (EDR – Endpoint Detection and Response) zur forensischen Analyse und Feststellung der Grundursache sowie sofortiger Reaktionsmaßnahmen wie Isolierung, Übertragung in die „Sandbox“ und „Rollback“-Funktionen zur Automatisierung von Abhilfemaßnahmen, seien wichtige Überlegungen. Mit diesen Funktionen auf einer Plattform und einem Agenten, „der in der Lage ist, alle Geräte und Server zu schützen“, werde eine zentralisierte Sichtbarkeit und Kontrolle für das Cyber-Sicherheitsteam über den gesamten Endgerätebestand hinweg gewährleistet.

Entscheidungsträger sollten sich dringend mit den aus Mängeln resultierenden Bedrohungen befassen

Schulen und Hochschulen würden von Cyber-Kriminellen bedroht und das werde auch in absehbarer Zukunft so bleiben. „Die Bedeutung des Schutzes unseres Bildungssystems vor Cyber-Bedrohungen kann nicht hoch genug eingeschätzt werden. Schulen, Hochschulen und Universitäten bieten nicht nur lebenswichtige Dienste für unsere Gesellschaft und Wirtschaft, sie verfügen auch über zahlreiche sensible Daten.“
Von persönlichen Informationen wie Geburtsurkunden, Schüler- und Lehrerakten, Sozialversicherungsnummern und Finanzdaten bis hin zu Geistigem Eigentum und Spitzenforschung gehörten die Daten dieser Organisationen zu den nützlichsten für Cyber-Kriminelle, erläutert Canisius. Daher sei es unbedingt erforderlich, dass sich die Verantwortlichen und politischen Entscheidungsträger „dringend mit diesen Mängeln befassen“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.01.2020
Jahresauftakt 2020: Abermals sensible Daten in falschen Händen / Kommentar zum „Europäischen Datenschutztag“ von Matthias Canisius

datensicherheit.de, 21.10.2019
IT-Sicherheit in Deutschland: Ernste, aber beherrschbare Lage / Matthias Canisius kommentiert aktuellen BSI-Lagebericht 2019

Digitalisierung leistet einen wesentlichen Beitrag zur Verbesserung von Arbeitsbedingungen

[datensicherheit.de, 01.05.2019] Der 1. Mai steht für das Ziel, Arbeitsbedingungen zu verbessern. Einen wesentlichen Anteil an dieser Entwicklung leistet zurzeit die Digitalisierung. Diese hilft Mitarbeitern dabei, ihre Fähigkeiten optimal zu entfalten und kontinuierlich weiter zu entwickeln, ist Lucia Falkenberg vom eco – Verband der Internetwirtschaft e. V. überzeugt. „Karrieren verlaufen immer seltener linear, sondern verlangen ständige Weiterqualifikation. Wenn Führungskräfte und Mitarbeiter die Notwendigkeit des lebenslangen Lernens erkennen, dann schaffen sie eine lernende Organisation – also ein Unternehmen, das Mitarbeitern persönliche Weiterentwicklung ermöglicht“, sagt Falkenberg.

So lassen sich beispielsweise immer mehr Routinearbeiten an Algorithmen auslagern, selbst im Büro. Es ist möglicherweise bald üblich, Routine-Mails von digitalen Assistenten sortieren und beantworten zu lassen. „Früher haben wir vor allem körperlich anstrengende Arbeiten an Maschinen ausgelagert, heute lassen wir den Kollegen Roboter teilweise mitdenken. Aber auch die Algorithmen haben Grenzen. Die Beschäftigten übernehmen vermehrt komplexe und schwer automatisierbare Aufgaben, beispielsweise mit kommunikativen Schwerpunkten“, sagt Falkenberg.

Bild: eco

Lucia Falkenberg, eco

Digitalisierung bietet mehr Chancen für Selbstverwirklichung

Diese Entwicklung können Betriebe unterstützen, indem sie Mitarbeitern mehr Freiräume fürs Lernen und die eigene Weiterqualifikation geben. „Wenn Menschen, Maschinen, Anlagen, Logistik und Produkte miteinander kommunizieren und kooperieren, dann verlangt die Dynamik der Veränderungsprozesse immer stärker nach betrieblichen Fortbildungen. Unternehmen sind daher gut beraten, die Kompetenzen ihrer Mitarbeiter weiter zu entwickeln und sie so zu Gewinnern der Digitalisierung zu machen“, sagt Falkenberg.

Trend: E-Learning

Die neuen digitalen Möglichkeiten helfen zudem dabei, neue Qualifikationen aufzubauen. E-Learning-Angebote ergänzen die bisherigen Formen der betrieblichen Weiterbildung um attraktive neue Möglichkeiten, mit denen sich immer besser orts- und zeitunabhängig lernen lässt. Damit passen sie gut zu der weiteren Entwicklung unserer digitalen Arbeitswelten mit ihren Möglichkeiten, orts- und zeitunabhängig produktiv zu sein.

„Eine erfolgreiche digitale Transformation im Unternehmen steigert dessen Wettbewerbsfähigkeit. Das gelingt, wenn alle Beteiligten ihr Silodenken überwinden und gemeinsam die Herausforderungen angehen“, sagt Falkenberg. Praktische Hilfe bei den ethischen Herausforderungen eines digitalen Wandels der Arbeitswelt liefert beispielsweise das 40-seitige Thesenpapier „Digital. Konzertiert. Aktiv. Die Transformation der Arbeitswelt gemeinsam gestalten“. Mitgewirkt haben Vertreter der Hochschule Aschaffenburg, des eco Verbands, der Katholischen Arbeitnehmerbewegung (KAB) sowie der Industriegewerkschaft Metall (IG Metall). Die Publikation entstand im Rahmen des Projektes „mainproject digital“, einer Maßnahme des Europäischen Sozialfonds in Bayern. Zu einem Experten-Roundtable zum Thema Future Work lädt die eco Akademie am 22. Mai nach Düsseldorf ein.

 Weitere Informationen zum Thema:

mainproject digital
New Work

datensicherheit.de, 20.04.2019
eco Verband: Onlinesuche zukünftig von Smarten Assistenten geprägt

datensicherheit.de, 10.04.2019
Europawahl 2019: eco benennt drei Kernaufgaben

datensicherheit.de, 12.03.2019
Jahresbericht 2018 der eco Beschwerdestelle: „Prinzip Löschen statt Sperren funktioniert“

datensicherheit.de, 28.02.2019
eco Verband: Veröffntlichung zu möglichen Regeln für Crypto-Mining