Cybersicherheit in der Hochschulbildung: Probleme und Lösungen

Hochschulen sind einer ständigen Flut von Cyberangriffen ausgesetzt. Nach einem Vorfall im Jahr 2015 sagte Kevin Morooney – ehemaliger Vice Provost for Information Technology an der Pennsylvania State University – der New York Times, dass Penn State durchschnittlich 20 Millionen Angriffen pro Tag ausgesetzt sei, eine Menge, die „typisch für eine Forschungsuniversität“ sei.

Beginnend mit einer kleinen Auswahl der finanziellen Auswirkungen, die solche Bedrohungen haben können, schätzte das digitale Forensik- und Cybersicherheitsunternehmen LIFARS in einem Bericht aus dem Jahr 2016, dass Spear-Phishing-Angriffe – die darauf abzielen, eine Organisation zu infiltrieren und sensible Informationen zu stehlen, oft per E-Mail – Unternehmen durchschnittlich kosten 1,8 Millionen US-Dollar pro Vorfall. In einem Bericht aus dem Jahr 2017 prognostizierte Cybersecurity Ventures, dass Angriffe mit Ransomware – die damit drohen, die Daten eines Opfers zu stehlen, zu blockieren oder zu veröffentlichen, wenn kein Lösegeld gezahlt wird – im Jahr 2017 Schäden in Höhe von rund 5 Milliarden US-Dollar verursachen würden, gegenüber 325 Millionen US-Dollar im Jahr 2015.

In einem von BitSight (einem Unternehmen für Cyber-Risikomanagement) veröffentlichten Bericht aus dem Jahr 2016 verzeichnete das Hochschulwesen die höchste Rate an Ransomware-Angriffen unter allen untersuchten Branchen und die zweithöchste Rate im Bericht von BitSight aus dem Jahr 2017. Dementsprechend arbeiten die Universitäten rund um die Uhr daran, ihre Verteidigung gegen diese hohen potenziellen Verluste zu stärken. Wie Kim Milford, Executive Director des Research and Education Networking Information Sharing and Analysis Center an der Indiana University, in einem Artikel aus dem Jahr 2016 sagte, der vom Center for Digital Education verfasst wurde, sind die Universitäten jetzt „in ein teures Wettrüsten verwickelt“, während sie neue Wege erkunden sowohl bei der Bekämpfung aktueller Angriffe als auch bei dem Versuch, künftigen Angriffen immer einen Schritt voraus zu sein. Unabhängig davon, ob Cyberangriffe erfolgreich sind, stellen sie laut Milford ein kostspieliges und allgegenwärtiges Problem dar, mit dem sich Universitäten befassen müssen.

Vielleicht noch bedeutender als potenzielle finanzielle Verluste stellen Cyberangriffe eine ernsthafte Bedrohung für den Ruf einer Universität und die Sicherheit ihrer Studenten dar.

Die Risiken von Cyberangriffen gehen jedoch über finanzielle Verluste für die Hochschulwelt hinaus. In der Tat beherbergen Colleges und Universitäten eine riesige Menge sensibler Daten, von Studenten-Sozialversicherungsnummern bis hin zu wertvollem geistigem Eigentum, die, wenn sie gestohlen oder kompromittiert werden, weit über die Mauern der Akademie hinaus erheblichen Schaden anrichten könnten. Vielleicht noch bedeutender als die oben genannten potenziellen finanziellen Verluste stellen Cyberangriffe eine ernsthafte Bedrohung für den Ruf einer Universität und die Sicherheit ihrer Studenten dar.

Obwohl sich Bedrohungen ständig weiterentwickeln, müssen Hochschulen und Universitäten weiterhin sowohl in die Talente als auch in die Infrastruktur investieren, die erforderlich sind, um die Herausforderungen der Cybersicherheit in Zukunft zu meistern. Dieser Artikel wird die Bedeutung der Entwicklung von Cybersicherheitsexpertise für Hochschulen weiter beleuchten und Strategien zur Bewältigung dieser Herausforderungen anbieten. Beginnend mit einer Untersuchung, warum Hochschulen und Universitäten besonders anfällig für Cyberangriffe sind, werden wir versuchen, die Strategien zu verstehen, die Angreifer verwenden, um diese Schwachstellen auszunutzen, und zu einer Reihe von Empfehlungen gelangen, die darauf abzielen, Hochschulen und Universitäten besser auszurüsten, um Cyberbedrohungen in Zukunft zu begegnen.

Warum ist die Hochschulbildung gefährdet?

Während praktisch jede große Branche mit erheblichen Herausforderungen im Bereich der Cybersicherheit konfrontiert ist, ist die Hochschulbildung aus einer Reihe von Hauptgründen besonders anfällig.

Einer hat mit der einzigartigen Kultur der Wissenschaft zu tun, die stolz auf ein Maß an Offenheit und Transparenz ist, das den meisten Branchen fehlt. Wie Fred Cate, Direktor des Indiana University Center for Applied Cybersecurity Research, in einem UniversityBusiness-Artikel aus dem Jahr 2013 artikulierte, haben sich Colleges und Universitäten in der Vergangenheit darauf konzentriert, sicherzustellen, dass „unsere Fakultät und unsere Studenten und unsere Öffentlichkeit und unsere Spender sich gut verbinden können leicht zu uns.“ Dies hat die Computernetzwerke von Colleges und Universitäten, so der Artikel, „so offen und einladend wie ihre Campusse“ gemacht.

Ein weiterer Grund betrifft die Geschichte – insbesondere, wie lange Hochschulen und Universitäten schon online sind. Alex Heid, Chief Research Officer bei SecurityScorecard (einem Drittanbieter für Risikomanagement), sagte in einem EducationDIVE-Artikel aus dem Jahr 2016, dass Universitäten schon immer Hauptziele für Cyberangriffe waren, zum großen Teil, weil „Universitäten einer der ersten Orte waren, die Internetzugang hatten, und mit Internetzugang haben Sie Leute, die versuchen zu sehen, wie weit das gehen kann. Aufgrund ihres relativ langen Internetzugangs sind Hochschulen und Universitäten seit langem sichtbare Ziele, und ihre Schwächen sind Cyberangreifern daher wahrscheinlich sehr bekannt und werden von ihnen verstanden.

Cyberangreifer verwenden modernste Technologien und Methoden, um Universitätssysteme auszunutzen, die in einigen Fällen jämmerlich veraltet und übertroffen sind.

Da Hochschulen und Universitäten digitale Tools und Schnittstellen so früh eingeführt haben (und aufgrund finanzieller und anderer praktischer Bedenken), verlassen sich viele Hochschulen immer noch auf Legacy-Systeme, die besonders anfällig für Angriffe sind. „Viele Colleges verwenden Material, das vor Jahren geschrieben wurde“, sagte Heid in dem oben genannten Artikel. Einfach ausgedrückt: Cyberangreifer verwenden modernste Technologien und Methoden, um Universitätssysteme auszunutzen, die in einigen Fällen erschreckend veraltet und übertroffen sind.

Insbesondere universitäre IT-Systeme zeichnen sich oft durch eine dezentrale und aus Heids Sicht willkürliche Konstruktion aus, die Angreifer leicht ausnutzen können. In einem Blog-Beitrag aus dem Jahr 2017 für das Datenrisikomanagement- und Softwareunternehmen Code42 stellt Ashley Jarosch fest, dass es zwar aus betrieblicher Sicht sinnvoll sein kann, dass einzelne Abteilungen mit ihren eigenen IT-Strukturen arbeiten (die Astrophysik-Abteilung einer Universität wird wahrscheinlich, schreibt sie, andere haben). technologischen Anforderungen als beispielsweise die Literaturabteilung einer Universität), schafft diese Art von bruchstückhaftem Aufbau klare Schwachstellen in der Informationssicherheit. „In einem Dutzend (oder Dutzenden von) Abteilungen besteht eine gute Chance, dass mindestens eine eine Kombination aus veralteten Geräten und nicht gepatchten Betriebssystemen, unzureichender E-Mail-Filterung und AV, fehlerhafter Datensicherung oder unzureichender Benutzerschulung und -richtlinie hat“, schreibt Jarosch.

Obwohl es sich nicht um ein spezifisches Problem der Hochschulbildung handelt, stellt der Mangel an Cybersicherheitstalenten ein erhebliches Hindernis dar, das Hochschulen und Universitäten überwinden müssen, um die oben genannten Probleme anzugehen. Eine kürzlich vom Beratungsunternehmen Frost & Sullivan durchgeführte Studie prognostiziert, dass es bis 2020 1,8 Millionen unbesetzte Cybersicherheitsstellen geben wird und dass dieser Fachkräftemangel weltweit besteht, wobei fast 70 Prozent der Fachleute weltweit sagen, dass es zu wenige Cybersicherheitsmitarbeiter gibt . Da die Nachfrage nach Cybersicherheitstalenten das Angebot bei weitem übersteigt, zahlen Unternehmen oft Höchstpreise für Cybersicherheitsexpertise. Dies bringt Colleges und Universitäten wahrscheinlich in einen ernsthaften Nachteil, wenn sie versuchen, solche Talente von hochbezahlten Jobs im Privatsektor bei Alphabet, Facebook und dergleichen wegzulocken.

Mit einem Verständnis der Gründe, die den Schwachstellen der Cybersicherheit im Hochschulbereich zugrunde liegen, können wir nun untersuchen, wie diese Schwachstellen ausgenutzt werden.

Wie Angreifer Schwachstellen ausnutzen

Schändliche Akteure wenden eine Vielzahl von Taktiken und Tools an, wenn sie Cyberangriffe starten. Zwei der gebräuchlichsten Methoden dieser Art werden im Folgenden skizziert. Obwohl diese Liste keineswegs vollständig ist und sich auch nicht nur auf Colleges und Universitäten bezieht, wird sie ein besseres Verständnis dafür vermitteln, wie Hacker genau darauf abzielen, Lücken in der Cybersicherheit auszunutzen, und sich als nützlich erweisen, um zu überlegen, wie solche Angriffe in Zukunft am besten gestoppt werden können.

SQL-Injektionen: Von einigen als „das wohl schwerwiegendste Problem, mit dem Webanwendungen konfrontiert sind“ beschrieben, sind SQL-Injektionen (SQLi) einfach ausgedrückt Angriffe, die darauf abzielen, den Passwortschutz zu umgehen, indem sie die Datenbanken ausnutzen, die bestimmten Anwendungen zugrunde liegen. SQL (Standard Query Language) ist eine Sprache, die Datenbanken verwaltet und mit ihnen kommuniziert. SQL-Injektionen funktionieren, indem sie Schwachstellen im Code ausnutzen, die den Eingabeseiten zugrunde liegen (wie z. B. Benutzernamen- und Passwort-Anmeldeseiten) und eine bestimmte Datenbank zwingen, vertrauliche Informationen zurückzugeben. Wenn ein Angreifer beispielsweise mit einer Anmeldeseite mit Benutzername und Passwort konfrontiert wird, kann er einen Teil des SQL-Codes in den Passwortabschnitt eingeben („injizieren“). Wenn der Code der zugrunde liegenden Datenbank angreifbar ist, könnte dieser SQL-Code die zugrunde liegende Datenbank ändern und die von der Datenbank gesteuerte Anwendung dazu zwingen, dem Hacker den Zugriff zu gestatten.

Colleges und Universitäten haben unzählige passwortgeschützte Online-Anwendungen, von Studentennotenberichten bis hin zu Beschäftigungsinformationen für Fakultäten, die theoretisch mit SQL-Injektionen aufgebrochen werden könnten. Ein solcher Angriff auf die Hochschulbildung erfolgte im Februar 2017, als ein russischer Hacker oder eine Hackergruppe SQL-Injektionen einsetzte, um Daten von Dutzenden US-Colleges und Universitäten zu stehlen, darunter der Cornell University und der New York University. Solange Hochschulen weiterhin Schwachstellen in ihre zugrunde liegenden Datenbanken geschrieben haben, werden SQL-Injektionen wahrscheinlich weit verbreitet und für Hacker allzu einfach zu verwenden sein.

Phishing: Wie zu Beginn dieses Artikels erwähnt, sind Phishing-Angriffe durch E-Mails oder Webseiten gekennzeichnet, die darauf abzielen, Benutzer zur Eingabe sensibler Daten wie Passwörter oder Kreditkarteninformationen zu verleiten. Das Information Security Office der Princeton University bietet einen nützlichen Überblick darüber, wie sich solche Angriffe normalerweise manifestieren:

„Normalerweise sendet der Phisher eine E-Mail-Nachricht an eine große Gruppe von Personen, deren Adressen er aus Adressbüchern und Websites im Internet erfasst hat. Die Nachricht, normalerweise gut formuliert und offiziell aussehend, kann behaupten, von einem Finanzinstitut, einem Dienstleister oder einer anderen Organisation zu stammen, die dem Empfänger bekannt ist. Oft wird der Empfänger gebeten, die Informationen bereitzustellen, indem er auf einen Website-Link klickt die Email. Aber während der Link zu der Website legitim aussehen mag, ist der angezeigte Link nicht unbedingt die tatsächliche Website, die Sie besuchen, wenn Sie darauf klicken.“

30 Prozent der Benutzer in der Bildungsbranche sind im letzten Jahr auf Phishing-Betrug hereingefallen, der sich als Unternehmenskommunikation ausgibt, doppelt so viele wie die allgemeine Bevölkerung.

Phishing-Angriffe können eine Vielzahl von Endzielen haben, vom Diebstahl von Benutzerdaten über die Installation von Ransomware auf dem Computer eines Opfers bis hin zur Erlangung finanzieller Zahlungen. Obwohl diese Angriffe offensichtlich erscheinen und leicht zu vermeiden sind, haben Studien gezeigt, dass eine beträchtliche Mehrheit der Unternehmen Opfer von Phishing-Betrug geworden ist. Die Bildungsbranche hat sich als besonders anfällig erwiesen, da Wombat Security – ein Softwareunternehmen, das sich darauf spezialisiert hat, Unternehmen bei der Bekämpfung von Phishing-Angriffen zu unterstützen – in einem Bericht aus dem Jahr 2017 festgestellt hat, dass 30 Prozent der Benutzer in der Bildungsbranche auf Phishing-Betrügereien geklickt haben, die sich als Unternehmenskommunikation ausgeben, doppelt so viele Rate der allgemeinen Bevölkerung, im letzten Jahr.

Obwohl sich die oben genannten Taktiken als wirksam erwiesen haben, werden wir sehen, dass sie verhindert werden können.

So verhindern Sie Angriffe: Besserer Code und größere Wachsamkeit

Zur Bekämpfung der oben beschriebenen Cyberangriffe gibt es eine Reihe von Strategien. Einige beinhalten Strategien, die IT-Fachkräfte im Hochschulbereich selbst anwenden müssen, während andere Strategien umfassen, die jeder in der Hochschulgemeinschaft, einschließlich der Endbenutzer, umsetzen muss:

Stoppen von SQLi-Angriffen durch vorbereitete Anweisungen, gespeicherte Prozeduren und Eingabevalidierung

Es wurde viel darüber geschrieben, wie SQL-Injection-Angriffe verhindert werden können, und der Konsens ist, dass dies möglicherweise nicht besonders schwierig ist. Das Open Web Application Security Project (OWASP) bietet einen Überblick darüber, wie SQLi-Angriffe vermieden werden können. OWASP nennt dafür drei primäre Strategien:

Vorbereitete Erklärungen: Hochschulen und Universitäten sollten ihre zugrunde liegenden Datenbanken mit vorbereiteten Erklärungen aufbauen. Wie OWASP sagt: „Vorbereitete Anweisungen stellen sicher, dass ein Angreifer die Absicht einer Abfrage nicht ändern kann, selbst wenn SQL-Befehle von einem Angreifer eingefügt werden.“ Im Wesentlichen können vorbereitete Anweisungen SQL-Befehle, die sich als Benutzereingabedaten (Benutzernamen und Passwörter) ausgeben, machtlos machen.

Gespeicherte Prozeduren: Laut OWASP können gespeicherte Prozeduren dieselbe Wirkung haben wie vorbereitete Anweisungen, wobei der Hauptunterschied darin besteht, dass „der SQL-Code für eine gespeicherte Prozedur in der Datenbank selbst definiert und gespeichert und dann von der Anwendung aufgerufen wird“. Wie OWASP und andere geschrieben haben, sind gespeicherte Prozeduren möglicherweise nicht immer zur Abwehr von SQLi-Angriffen geeignet, stellen jedoch eine praktikable Option für Hochschulen und Universitäten dar, wenn sie richtig geschrieben und implementiert werden.

Eingabevalidierung: SQL-Injection-Angriffe nutzen Anwendungen und Datenbanken aus, die keine Querverweise aufweisen und eingegebene Daten nicht validieren. Ein logischer Schritt zur Verhinderung dieser Angriffe besteht daher darin, sicherzustellen, dass eine zu erstellende Datenbank eine Eingabevalidierung erfordert. Microsoft nennt die Eingabevalidierung auch als Schlüsseltechnik zur Vermeidung von SQLi-Angriffen innerhalb seines ASP.net-Webentwicklungsmodells.

Phishing durch Training und erhöhtes Misstrauen verhindern

Im Gegensatz zur Verhinderung von SQLi-Angriffen, die durch interne technische Korrekturen erfolgen kann, hängt die Verhinderung von Phishing-Betrug weitgehend von den Endbenutzern ab – Fakultäten, Mitarbeitern und Studenten. Es gibt mehrere Schritte, die Hochschulen und Universitäten unternehmen sollten, um sicherzustellen, dass alle Endbenutzer wachsam bleiben:

E- Mail-Filter: Als ersten, einfachen Schritt sollten Hochschulen und Universitäten E-Mail-Filter einrichten, die verdächtige außeruniversitäre E-Mails in den Spam-Ordner eines Benutzers verschieben. Dies ist zwar alles andere als eine narrensichere Lösung, aber es ist ein wichtiger erster Schritt, der verhindern kann, dass bösartige E-Mails ihre Ziele erreichen.

Schulungs- und Sensibilisierungskampagnen: Hochschulen und Universitäten sollten von den Endbenutzern verlangen, dass sie an Schulungen teilnehmen, die abdecken, was Phishing ist und wie man es erkennt. Es gibt Unternehmen, die sich dieser Dienstleistung verschrieben haben, und Hochschulen müssen bereit sein, die Zeit und die Ressourcen zu investieren, die erforderlich sind, um ihre Fakultäten und Mitarbeiter angemessen auszubilden. Wie ein Artikel im Infosecurity Magazine betont, sollte dieses Training relativ regelmäßig wiederholt werden und die Benutzer einer Vielzahl von Phishing-Angriffen aussetzen. Das Bereitstellen von Beispielen für echte Angriffe und das Erstellen eines Repositorys für solche Angriffe, wie es die Princeton University mit ihrer „Phish Bowl“ getan hat, kann auch das Bewusstsein stärken.

„Die Schulung unserer Kunden in Bezug auf sicheres Computing bringt eine der größten Amortisationen.“

Sasi Pillay, Vice President of Information Technology Services & Chief Information Officer an der Washington State University, sagt, dass er und sein Team einen jährlichen Cybersecurity Awareness Month veranstalten und versucht haben, eine allgemeine „Cyber-Awareness-Kultur“ zur Bekämpfung von Phishing zu schaffen – die Nummer der Universität ein Cybersicherheitsproblem. „Die Schulung unserer Kunden in Bezug auf sicheres Computing bringt eine der größten Amortisationen“, sagt Pillay.

Obwohl die oben aufgeführten Strategien nicht umfassend sind und möglicherweise nicht jeden Angriff verhindern, stellen sie relativ einfache Schritte dar, die im Kampf der Hochschulbildung gegen potenzielle Cyber-Bedrohungen erhebliche Vorteile bringen können.

Die Schlüssel zu einer sicheren Zukunft

Das Verständnis von Schwachstellen, der Funktionsweise gängiger Cyberangriffe und der Verhinderung solcher Angriffe ist von grundlegender Bedeutung, um eine sicherere – und finanziell stabilere – Zukunft für die Hochschulbildung zu schaffen. Cyber-Bedrohungen entwickeln sich jedoch ständig weiter, und es gibt keine Garantie dafür, dass die heutigen Bedrohungen (und die Strategien zu ihrer Eindämmung) denen der Zukunft ähneln werden.

Für Sasi Pillay muss die langfristige Lösung für Cybersicherheit grundlegende Änderungen in der Art und Weise beinhalten, wie Software geschrieben und entworfen wird.

„Mein Traum und meine langfristige Vision ist es, in einer kompromittierten Umgebung sicheres Computing zu betreiben“, sagt Pillay. „Was wir tun müssen, ist die Art und Weise, wie wir heute Software schreiben, grundlegend zu ändern. Die Softwareentwicklung muss gestärkt werden, damit die Menschen Sicherheitsrisiken und Gefährdungen berücksichtigen.“

Ein weiterer Schlüssel zur Bewältigung zukünftiger Cybersicherheitsherausforderungen, der in diesem Artikel kurz erwähnt wird, ist die Beschäftigung eines robusten, beständigen Expertenteams auf diesem Gebiet. Das ist natürlich leichter gesagt als getan, denn die Hochschulbudgets sind knapp und Talente knapp. Dennoch gibt es eine Reihe von Möglichkeiten, dieses Problem zu umgehen, einschließlich der Einstellung von erfahrenen Freiberuflern und solchen, die bereit sind, aus der Ferne zu arbeiten.

Obwohl die Cybersicherheitsherausforderungen für die Hochschulbildung groß und die Kosten für ihre Lösung hoch sind, sind die potenziellen finanziellen und Reputationsrisiken, die mit unzureichender Verteidigung einhergehen, wahrscheinlich noch größer. Institutionen in der gesamten Hochschullandschaft stellen möglicherweise fest, dass sich effektive Cybersicherheitslösungen letztendlich selbst auszahlen können.