(Cyber)Sicherheit geht alle an

Es scheint kaum notwendig zu sein, auf die Risiken hinzuweisen, die mit der Verwendung digitaler Geräte einhergehen, aber es schadet nie, mehr Details hinzuzufügen. Dauerhafter Zugang zu den Informationen, zum Wissen und zu den Menschen, die wir in unserem täglichen Leben benötigen, hat seinen Preis.

Wie die Ökonomen sagen - es gibt keine kostenlosen Mittagessen. In diesem Fall zahlen wir dafür mit den Risiken, die wir eingehen, und den Sicherheitsverpflichtungen, die unsere Organisationen eingehen müssen. Dieser Artikel betrachtet eine der am stärksten von Risiken betroffenen Organisationsarten bei der Verwendung digitaler Geräte und Medien: Universitäten.

In vielen Ländern warnen nationale Sicherheitszentren davor, dass Universitäten zu den am stärksten gefährdeten Sektoren für Cyberangriffe gehören. Warum? Um eine Antwort zu versuchen, werfen wir einen Blick auf vier Fragen: (1) Warum Universitäten? (2) Welche Risiken bestehen? (3) Wie können Universitäten Schaden nehmen? (4) Wie können Universitäten sich schützen?

Die Anfälligkeit von Universitäten für Cyberangriffe

Beginnen wir damit, zu überlegen, warum Universitäten ein Ziel sind. Universitäten sind informationsintensive Organisationen - sie generieren Daten, Informationen und Wissen. Und sie tun dies, indem sie mit Menschen zusammenarbeiten. Sie führen auch eine hohe Anzahl von finanziellen Transaktionen über das Internet durch. Darüber hinaus verfügen sie über leistungsstarke Rechenzentren, nicht nur um das kommende neue (Quanten-)Computerzeitalter zu lehren, sondern auch um Experimente im Rahmen von Projekten durchzuführen. Wissenswerte Vermögenswerte und IT-Fähigkeiten sind zwei der Hauptziele für Kriminelle; deshalb gelten Universitäten als verwundbar.

Welche Risiken drohen also Universitäten? Im Fall digitaler Wissensvermögenswerte ist die gebräuchlichste Methode, sie zu verschlüsseln, um ein Lösegeld für ihre Wiederherstellung zu verlangen (bekannt als Ransomware). In einigen Fällen werden diese Daten im Darknet veröffentlicht, wo sie für kriminelle Aktivitäten verwendet werden können. Ransomware-Angriffe haben als Bedrohung erheblich zugenommen. Es wird geschätzt, dass 70% bis 80% der Organisationen in irgendeiner Form Schaden durch Ransomware-Angriffe erlitten haben. Diese digitalen Entführungen stellen ein doppeltes Problem dar. Im Kontext des spanischen Hochschulsystems zum Beispiel, mit einem erheblichen Anteil von Studierenden an öffentlichen Universitäten, sind Reaktionen auf Cyberangriffe eine Frage der öffentlichen Politik. Dem Kidnapping und der Erpressung nachzugeben, ist keine akzeptable Position für die öffentlichen Behörden. Im Privatsektor ist dies anders: Es wird geschätzt, dass die Kosten für die Wiederherstellung nach einem Ransomware-Angriff in der Regel gleich der Lösegeldzahlung sind. Mit anderen Worten: Wenn Vermögenswerte im Wert von 200.000 € von Ihnen beschlagnahmt werden, kostet es Sie am Ende die 200.000 € des Lösegeldes + 200.000 €, um wieder normal zu funktionieren. Diese Kosten resultieren aus Ausfallzeiten, Reparaturkosten und Opportunitätskosten für das, was Sie nicht tun konnten. Darüber hinaus kapern Angreifer auch häufig Rechenkapazitäten an Universitäten. In jüngsten Angriffen im universitären Umfeld wurde Kryptowährungs-Mining eingesetzt - eine schnelle und einfache Möglichkeit, Geld zu verdienen. Allerdings illegal!

In diesem Zusammenhang fügt die Telearbeit eine zusätzliche Ebene der Komplexität hinzu. Eine bedeutende Entwicklung ab 2020 war der schnelle Anstieg der Arbeit von zu Hause aus. Der Begriff "Perimetersicherheit" bezieht sich auf den Raum oder die Blase, die wir um uns herum benötigen, um einen Computer oder ein Mobiltelefon sicher zu verwenden. Als wir alle zu Hause blieben und arbeiteten, unterlag ein großer Teil dieses Perimeters einem Veränderungsprozess. Und während Organisationen ihre Bemühungen im Bereich der Cybersicherheit verstärkten, erforderte der dezentrale Bürokontext eine IT-Architektur, die nicht immer mit der Schaffung sicherer Räume kompatibel war. Die Risiken nahmen zu.

Arten von Cybersicherheitsrisiken und Angriffen, denen Universitäten ausgesetzt sind

Wie greifen Angreifer auf Universitätssysteme zu? Es wird geschätzt, dass in der ersten Jahreshälfte 2020, während der ersten Monate der Pandemie, Phishing-Angriffe - das Gewinnen des Vertrauens einer anderen Person, indem man sich als jemand anderes ausgibt - sich verdoppelt haben. Die am häufigsten verwendete Methode für einen Angriff bestand darin, eine E-Mail zu senden, sich als jemand anderes auszugeben - mit einer anderen E-Mail, bei der zum Beispiel nur ein Buchstabe geändert wurde - und einen Anhang hinzuzufügen, der beim Öffnen bösartige Software auf diesen Computer installierte (Malware). Mit der Telearbeit verließen wir uns stärker auf E-Mails und schriftliche Kommunikation als Hauptmittel der Kommunikation. Das Einschleusen von etwas auf diese Weise wurde also einfacher. Die Probleme können größer sein, wenn die betreffende Person, die von ihrem Sofa aus in Schlafanzügen arbeitet, ein Gerät verwendet, das auch für den Zugriff auf ihre Profile in sozialen Medien, das Online-Shopping oder Videokonferenzen verwendet wird. Es scheint wahrscheinlich, dass wir, wenn wir Statistiken zur Internetkriminalität in der postpandemischen Ära zusammenfassen, sicherlich feststellen werden, dass Identitätsverletzungen in diesen Bereichen stark zugenommen haben. Und deshalb sollten wir regelmäßig überprüfen, ob wir Opfer einer Identitätsverletzung wurden. Der Zugang kann außerdem über Informationssysteme erfolgen, die direkt mit den Daten interagieren (SQL-Angriffe) oder durch die Simulation eines Passworts (Fragen Sie sich immer, ob Ihr Passwort sicher ist). In jedem Fall ist es am besten, als Einzelperson vorsichtig zu sein. Und Organisationen müssen noch vorsichtiger sein. Hier gewinnen Mehrfaktor-Authentifizierungssysteme (MFA) an Bedeutung. Eine Studie der Times Higher Education zeigte, dass 87 % der Universitäten MFA für Mitarbeiter implementieren (ein Anstieg um 15 % gegenüber 2020) und dass 49 % es für einige oder alle Studenten haben (ein Anstieg um 27 % gegenüber 2020).

Steigerung der Cybersicherheit: Strategien für Universitäten und die Bedeutung von Bewusstsein

Zusätzlich zur Vorsicht und zur Steigerung der digitalen Bildung (die im Wesentlichen darin besteht, zu verstehen, was wir verwenden und wie wir es verwenden), ist das Hauptelement, das uns schützt, das Bewusstsein. Die Universitätsgemeinschaft sollte sich um all dies sorgen. Die potenziellen Verluste beschränken sich nicht nur auf finanzielle (Diebstahl von Betriebsgeheimnissen, Wettbewerbsvorteilen usw.), sondern auch auf den Ruf. Die digitale Wirtschaft basiert auf Vertrauen; denken Sie daran, wie viele Freunde Sie haben, die aus Angst vor der Eingabe persönlicher Daten nicht online einkaufen. Der Ruf und die Schaffung eines Rahmens des Vertrauens bei der Interaktion mit Internetdiensten sind entscheidend für die Steigerung der digitalen Wettbewerbsfähigkeit und die Nutzung aller damit verbundenen Vorteile.

Einzigartige digitale Vermögenswerte machen Universitäten wertvoller. Aber dazu müssen zwei weitere Faktoren hinzugefügt werden: Die Investitionen in die Cybersicherheit sind im Vergleich zu anderen Sektoren immer noch gering, und die Gesellschaft insgesamt (nicht nur das Universitätspersonal) ist sich der Risiken, die wir beim Surfen oder der Verwendung eines Computers eingehen, immer noch nicht bewusst. Cyberangriffe nehmen weltweit zu, und Unternehmen und Universitäten erleiden multimillionenschwere Verluste. Bleiben Sie sicher!