Warum Universitäten und Forschungsinstitute beliebte Ziele für Hacker sind

Was haben die meisten Universitäten, Hochschulen und Forschungsinstitute weltweit gemeinsam – abgesehen von ihrem Lehrauftrag? Sie alle sind in letzter Zeit Opfer von massiven Hackerangriffen geworden.

Bedrohungsakteure leben von der Unsicherheit. Und noch nie war die Zeit für Angriffe so günstig wie in den Jahren der Corona-Pandemie, als sehr viel sicher Geglaubtes plötzlich infrage stand.

Hochschulen mussten von heute auf morgen ganze Infrastrukturen auf Digitalisierung umstellen, um Remote-Lehren und -Lernen zu ermöglichen. Aber nur wenige waren darauf vorbereitet. Und obwohl die Corona-Pandemie inzwischen überwunden scheint und Forschung und Lehre wieder in Präsenz stattfinden können, lassen die Zahlen leicht erkennen, dass die digitale Pandemie gerade erst begonnen hat.

Wie stark sind Bildungseinrichtungen von Cyberkriminalität betroffen?

Die Zahl der Hackerangriffe steigt weltweit drastisch an, und es zeigt sich deutlich, dass vor allem Bildungseinrichtungen immer noch unzureichend vorbereitet sind. Laut dem Microsoft „Global Threat Activity Tracker“ ist der Bildungssektor mit 80 % bei Weitem am stärksten von Cyberkriminalität betroffen.

Microsoft Cyber Threats

Da die Folgen meistens auch eine große Zahl Studierender treffen, berichten Hochschulen in der Regel offen darüber, wenn sie einen Cyberangriff verzeichnen mussten. Eine beeindruckende Reihe der bekannt gewordenen Attacken aus den letzten Jahren lässt sich online nachvollziehen.

 

Was macht Bildungseinrichtungen so attraktiv für Cyberangriffe? 

Hochschulen und Forschungseinrichtungen sind Drehscheiben für Menschen, die lernen, lehren und forschen – zum Beispiel angehende Ärztinnen und Ingenieure, Professoren für Politologie oder Jura, Forschende in Chemie und Pharmazie. Alle sind spannende Ziele für Cyberkriminelle, die gestohlene Daten gewinnbringend einsetzen wollen. Die Gründe liegen nahe.

Persönliche Daten

Universitäten und Hochschulen sammeln und sichern eine große Menge sensibler personenbezogener Daten (PII) von Studierenden und Mitarbeitern. Dazu gehören Namen, Adressen, Telefonnummern, Geburtsdaten, Führerscheindaten, Finanz- und sogar medizinische Daten. Genau auf diese persönlichen Informationen haben es Hacker – und deren Kundschaft – abgesehen.

Wertvolles geistiges Eigentum

Teure Spitzenforschung ist ein lukratives, schützenswertes Geschäft, das hat nicht zuletzt die Corona-Pandemie gezeigt. Die Sicherheit von Unternehmens- und Verbraucherdaten steht permanent im Fokus, aber das geistige Eigentum und die Forschungsarbeiten von Hochschuleinrichtungen sind in gleichem Maß gefährdet. Viele Hochschulen arbeiten mit Forschungspartnern aus dem öffentlichen und privaten Sektor zusammen. Sie können es sich nicht leisten, dass das geistige Eigentum, das sie sammeln und schützen sollen, verletzt oder angegriffen wird.

Unzureichende Sicherheit in Bildungseinrichtungen

Das Bildungswesen ist das Schlusslicht unter allen Branchen, wenn es um Cybersicherheit geht. Universitäten, insbesondere öffentliche Institute, kämpfen permanent mit ihren Budgets. Investitionen in die Sicherheit gehen auf Kosten scheinbar dringenderer Aspekte und werden allzu oft zur Seite geschoben.

Keine adäquate Schulung

Selbst das ausgefeilteste Cybersicherheitssystem hat eine Achillesferse: den Nutzer, die Nutzerin. Ein Angriff benötigt für seinen Erfolg nur eine sorgfältig gestaltete Phishing-E-Mail und einen Menschen, der sie anklickt. Schulungsmaßnahmen, so sie überhaupt regelmäßig stattfinden, gleichen einer Sisyphusarbeit, da die Möglichkeiten der Angreifer, solche E-Mails täuschend echt zu gestalten, schier unbegrenzt sind.  

Übrigens: Auch beim Datenschutz sollten Bildungseinrichtungen auf dem neuesten Stand bleiben. Lesen Sie hier, wie Sie die DSGVO richtig umsetzen.

 

Welche Arten von Cyberbedrohungen gibt es in Bildungseinrichtungen?

Zu den wichtigsten Bedrohungen für die Cybersicherheit von Bildungseinrichtungen gehören Phishing, Malware, Ransomware, Spam, Social Engineering und Denial-of-Service-Angriffe. Cyberkriminelle nutzen diese Methoden, um Hochschulen und Forschungseinrichtungen anzugreifen und dadurch einen finanziellen Gewinn zu erzielen.

Phishing ist die häufigste Angriffsmethode, die Cyberkriminelle nutzen, um in die Systeme einzudringen. Es ist in der Regel mit geringem Risiko und minimalen Kosten verbunden und kann für die Angreifer sehr lukrativ sein. Ein Phishing-Angriff beginnt meistens mit einer betrügerischen E-Mail oder Website, die darauf abzielt, vertrauliche Informationen wie Passwörter, Kreditkartennummern und andere persönliche Daten des Empfängers zu sammeln.

Phishing-E-Mails gleichen zum Beispiel der offiziellen Benachrichtigung eines Unternehmens, einer Bank oder eines Zahlungsdienstes. Der Empfänger wird aufgefordert, seine persönlichen Daten oder Bankdaten zu aktualisieren, indem er auf einen Link klickt oder ein angehängtes Dokument herunterlädt. Tut er das, wird sein System meistens mit Malware infiziert.

Eine in letzter Zeit besonders beliebte und allseits gefürchtete Form von Malware ist Ransomware. Bei einem derartigen Angriff werden die Dateien auf dem Computer des Benutzers verschlüsselt. Für die Herausgabe des Schlüssels, der zur Entsperrung nötig ist, verlangen die Angreifer ein Lösegeld.     

 

Wie können sich Universitäten und Forschungsinstitute vor Cyberkriminalität schützen?

 Menschen sind leicht zu manipulieren, zum Beispiel durch zielgenaues Social Engineering, aber folgende Maßnahmen können helfen, das Risiko zu verringern:

  • Schulung aller Mitarbeiter und Studierenden
    Schüler, Studenten und die Belegschaft von Bildungseinrichtungen nutzen ihre Endgeräte täglich, um E-Mails abzurufen. Aber viele sind nicht mit der Raffiniertheit von Phishing-E-Mails und den verschiedenen Arten, auf die man achten sollte, vertraut. Aufklärung über die Gefahren der Internetkriminalität und darüber, was sich dagegen tun lässt, ist eine der wirksamsten Methoden zum Schutz vor Cyberkriminellen.
  • Starke Passwörter
    Ein Passwort ist das Tor zum System, die Regeln für ein starkes Passwort können nicht streng genug sein und sollten genau überwacht werden.
  • Multi-Layer-Security
    Ein abgestuftes, aufeinander abgestimmtes System aus Firewalls, Anti-Virus- und Anti-Malware-Software ermöglicht bessere Sicherheit.
  • Verschlüsselung
    Verschlüsselung sorgt dafür, dass Daten nur für diejenigen lesbar sind, die sie entschlüsseln können. Vor allem die sensibelsten Daten sollten verschlüsselt werden.
  • Multi-Faktor-Authentifizierung
    Auch bekannt als Zwei-Faktor-Authentifizierung, ist dies eine zusätzliche Sicherheitsebene für ein Konto, die zwei Eingaben erfordert: 1. etwas, das der Anwender kennt (einen Benutzernamen und ein Passwort), und 2. etwas, das er besitzt (einen Code, der an sein Telefon gesendet wird).
  • Sicherung der Daten (Backup)
    Im Falle eines Ransomware-Angriffs ist ein aktuelles, funktionierendes Backup die einzige Möglichkeit, ohne Zahlung des Lösegelds an die Daten zu kommen. Dagegen ist die Zahlung meistens keine Garantie dafür, dass die Dateien freigegeben werden.
  • Need-to-know-Prinzip
    Die Zahl der Mitarbeiterinnen und Mitarbeiter, die auf sensible Daten zugreifen können, sollte auf das Nötigste begrenzt sein.

 

Wie DataGuard Universitäten und Forschungseinrichtungen dabei helfen kann, Cyberangriffe zu verhindern 

DataGuard unterstützt Organisationen wie Bildungseinrichtungen mit Know-how und Beratungsleistungen rund um das Thema Informationssicherheit, zum Beispiel beim Aufbau eines ISMS. Ein ganzes Team von Expertinnen und Experten verfügt über fundierte Fachkenntnisse und Best Practices aus einer Vielzahl von Projekten, Themen und Branchen.

 

Die Informationssicherheits-Plattform von DataGuard bietet Kunden Zugriff auf zahlreiche Richtlinien zur Umsetzung eines ISMS. Sie liefert eine wertvolle Grundlage, die Organisationen nutzen und an Ihre eigenen Prozesse anpassen können.

Sehr hilfreich ist auch die DataGuard Academy, mithilfe derer Schüler, Studenten und wissenschaftliche Mitarbeiter plattformgestützt und effizient grundlegende Schulungen zur Informationssicherheit absolvieren – und sich mit den Cyberrisiken vertraut machen können.

 

Fazit

Bildungseinrichtungen und deren Forschungsergebnisse sind mehr denn je von Cyberkriminalität bedroht. Angemessene Sicherheitsmaßnahmen und ein funktionierendes ISMS nach ISO 27001 helfen auch diesen wichtigen Institutionen dabei, Sicherheitsbedrohungen zu vermeiden.

Benötigen Sie Beratung bei der Implementierung beim Aufbau eines ISMS oder bei der Schulung Ihrer Schüler, Studenten oder wissenschaftlichen Mitarbeiter? Wir bei DataGuard unterstützen Sie gern – wenden Sie sich noch heute an einen unserer Experten für Informationssicherheit.

 
In 10 Schritten zu Cybersicherheit In 10 Schritten zu Cybersicherheit

In 10 Schritten zu Cybersicherheit

Ein Maßnahmenkatalog mit praktischen Anweisungen zur Implementierung einer Strategie zur Cybersicherheit.

Jetzt kostenlos herunterladen

Über den Autor

Stefan Krstevski Stefan Krstevski
Stefan Krstevski

Stefan Krstevski ist ein nach ISO 27001-zertifizierter Informationssicherheitsbeauftragter und Auditor. Mit seinem technischen Hintergrund in den Bereichen IT-Sicherheit und Networking, verfügt er sowohl über die technischen als auch organisatorischen Kenntnisse der Informationssicherheit. Bei DataGuard unterstützt er Kunden bei der Implementierung und Aufrechterhaltung eines Informationssicherheits-Managementsystems nach ISO 27001 und TSAX®. 

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren