Email Security

    Cybersicherheit der Regierung: Kräfte bündeln, um das Cybersecurity-Problem der K-12-Schulen zu lösen

    Amerikas öffentliche Schulen werden von einer Welle von Cyberangriffen heimgesucht. Ein neues Gesetz in Washington ist nur ein Schritt, um ihre Verteidigung zu stärken.

    by Karen Lynch

    Wichtige Punkte:

    • Präsident Joe Biden hat kürzlich den K-12 Cybersecurity Act unterzeichnet, da Cyberangriffe auf Schulen einen neuen Höchststand erreichen.
    • Bidens Schritt erfolgt inmitten einer Reihe von Forderungen nach Lösungen, die von K-12-Cybersicherheitsstandards bis hin zur Finanzierung von Schulen mit knappen Kassen reichen.
    • Es entsteht ein grundlegender Rahmen für die Cybersicherheit, mit dem Schulen ihre Reaktion planen können.

    Wird das Jahr 2022 der Wendepunkt für die Cybersicherheit in Amerikas öffentlichen Schulen sein?

    In den vergangenen zwei Jahren hat das Fernlernen den Einsatz von Technologie in den Schulen der Sekundarstufe II auf ein neues Niveau gehoben - ohne dass die chronischen Mängel beim Schutz von Geräten, Systemen und Daten behoben wurden. Kein Wunder, dass die lokalen Nachrichtensender mit Berichten über Unterrichtsausfälle , gestohlene Schülerausweise, Ransomware-Forderungen und andere beunruhigende Vorfälle gefüllt waren.

    Da das digitale Lernen nicht mehr aufzuhalten ist, werden die Kräfte gebündelt, um die Schulen der Sekundarstufe I und die Schüler besser vor den ständigen Cyberangriffen zu schützen. Zu den jüngsten Entwicklungen gehören:

    • Gesetzgebung: Anfang Oktober unterzeichnete Präsident Biden den K-12 Cybersecurity Act als Gesetz [1] zur Bereitstellung von Analysen, Richtlinien und Tools. Einige sehen dies als einen Schritt in Richtung staatlich vorgeschriebener K-12-Standards.
    • Finanzierung: Interessengruppen und politische Entscheidungsträger haben sich für die Freigabe von Mitteln für die Cybersicherheit im K-12-Bereich eingesetzt.
    • Tools: Der K12 Security Information Exchange (K12 SIX) - eine gemeinnützige Mitgliedsorganisation für Schulen zum Austausch von Sicherheitswarnungen, bewährten Praktiken und anderen Informationen - hat kürzlich einen Rahmen für Cybersicherheit veröffentlicht, der für eine einfache Nutzung optimiert wurde. [2]

    Gesetzgeberischer Wandel in der K-12 Cybersicherheit

    Der K-12 Cybersecurity Act sieht vor, dass die Agentur für Cybersicherheit und Infrastruktursicherheit bis April neue Richtlinien für Schulen herausgibt, gefolgt von der Entwicklung von Instrumenten zu deren Umsetzung. Obwohl das Gesetz die Schulen nicht zum Handeln verpflichtet, schlagen einige Beobachter in Washington vor, dass sie sich auf die eventuelle Einführung von Mindeststandards für die Cybersicherheit in den Schulen vorbereiten.

    Die Regierung Biden, die schrittweise Cyber-Mindeststandards in Bereichen wie Energie und Verkehr eingeführt hat, bezeichnete das neue K-12-Gesetz als Teil ihrer "landesweiten Bemühungen zur Bekämpfung von Cyber-Bedrohungen". [3] In der Zwischenzeit müssen die Schulen den 40 Jahre alten Family Educational Rights and Privacy Act (FERPA) einhalten, der zuletzt im Jahr 2002 aktualisiert wurde. Obwohl das Gesetz keine Sicherheitskontrollen vorschreibt, weist das Bildungsministerium darauf hin, dass ein Verstoß gegen das Gesetz zu einer Verletzung des FERPA und zum Verlust von Bundesmitteln führen kann. [4] Darüber hinaus haben einige Bundesstaaten auch Datenschutz- und Cybersicherheitsstandards für die K-12 entwickelt. [5]

    Interessengruppen und Gesetzgeber fordern, dass mehr getan werden muss - sie fordern, dass die Regierung im Bereich Cybersicherheit Mittel für K-12 bereitstellt. In einem von sechs Kongressmitgliedern unterzeichneten Brief wird betont, dass "Studien und bewährte Praktiken zwar dazu beitragen können, unsere nationale Reaktion zu informieren ... der Kongress aber handeln muss, indem er echte Ressourcen auf den Tisch legt." [6] In einer von Mimecast in Auftrag gegebenen Studie Osterman Research heißt es ebenfalls: "Da der Bildungssektor im Bereich der Cybersicherheit chronisch unterfinanziert ist, ist eine größere Finanzierung auf höchster Ebene erforderlich."

    In einer Petition an die Federal Communications Commission wird vorgeschlagen, Bestimmungen zur Cybersicherheit in das E-Rate-Programm der Behörde aufzunehmen, das die Finanzierung des Breitbandzugangs an den meisten K-12-Schulen unterstützt. [7]

    Der Cyberangriff auf öffentliche Schulen

    Öffentliche Schulen meldeten im vergangenen Jahr mehr als zwei Cybervorfälle pro Schultag, die zu Schulschließungen, Millionen an gestohlenen Steuergeldern, Identitätsdiebstahl bei Schülern und damit verbundenem Kreditbetrug führten, so The State of K-12 Cybersecurity: Year in Review. [8] Die nachstehende Karte der K-12 Cybervorfälle veranschaulicht das Ausmaß des Problems.

    k12cybersecurityresourcecenter.png

    Quelle: Besuchen Sie K-12 Cybersecurity Resource Center für eine interaktive Karte.

    Die K-12-Schulen sind aus mehreren Gründen die Leidtragenden:

    • Wertvolle Daten: K-12 Sozialversicherungsnummern gehören zu den wertvollsten im Dark Web. Diese gestohlenen Identitäten können von Kriminellen genutzt werden, ohne dass sie auffallen - manchmal jahrelang -, da Schüler unter 18 Jahren normalerweise nicht von Kreditauskunfteien überwacht werden. Der State of K-12 Cybersecurity schätzt, dass durch Sicherheitsverletzungen in Schulbezirken und bei deren Anbietern zwischen 2016 und 2020 die persönlichen Daten von mehreren zehn Millionen K-12-Schülern offengelegt werden.
    • Leichte Ziele: Die Budgets und die Personalausstattung öffentlicher Schulen sind in der Regel knapp bemessen, was Schulen zu einem weitaus leichteren Ziel macht als beispielsweise ein Fortune-500-Unternehmen. Techniker, die Schulprojektoren einrichten und Probleme in typischerweise veralteten Netzwerken beheben, könnten auch für die Cybersicherheit zuständig sein. Weniger als ein Viertel der Schulbezirke haben einen Vollzeitmitarbeiter, der sich um die Netzwerksicherheit kümmert. [9]
    • Landung und Ausweitung: Angreifer verschaffen sich manchmal über Schwachstellen in Schulsystemen Zugang zu größeren staatlichen Cybersicherheitsnetzen.
    • Schülerhacks: Schulen kämpfen mit Cyberangriffen von kriminellen Banden auf der einen und Jugendlichen auf der anderen Seite, wobei einige Schüler versuchen, Noten zu ändern, "Sachen kaputt zu machen" oder zu zeigen, was sie können. Kürzlich erlangte der 14-jährige "WhiteHoodHacker" die Kontrolle über Projektoren und Klingelpläne in einem Schulbezirk in Illinois und startete einen synchronisierten Streich. [10]
    • Cloud- und Anbieterrisiken: Schulen, die auf Cloud-Netzwerke umstellen, sichern ihre Seite der Vereinbarung nicht immer ab. Darüber hinaus kann ein einziger Angriff auf einen Anbieter von Bildungstechnologie in der Cloud mehrere Schulbezirke betreffen. In einem Fall wurden durch den Angriff auf eine Lernbewertungsplattform gleichzeitig die persönlichen Daten von Schülern in 135 Schulbezirken offengelegt. [11]
    • Elterlicher Druck: Schulverwaltungen müssen den Schulbetrieb aufrechterhalten oder den Eltern gegenüber Rechenschaft ablegen - ein Gefühl der Dringlichkeit, das kriminelle Banden ausnutzen, wenn sie Schulsysteme gegen Lösegeld lahmlegen. Darüber hinaus hat eine kürzlich durchgeführte Studie gezeigt, dass eine große Mehrheit der Eltern von K-12-Schülern Ransomware-Zahlungen unterstützt, um die Daten ihrer Kinder zu schützen. [12]

    Tools für Schulen

    K12 SIX - Teil der Global Resilience Federation, der weltweit etwa 7.000 Organisationen angehören - hat kürzlich eine wichtige neue Ergänzung zu den Schul-Toolkits für Cybersicherheit veröffentlicht: Die K12 SIX Essential Cybersecurity Protections beschreiben ein Dutzend grundlegender Maßnahmen. Das neue Rahmenwerk destilliert bewährte Praktiken und staatliche und bundesstaatliche Richtlinien, wie das National Institute for Standards and Technology 's Cybersecurity Framework. [13] Die Maßnahmen sind in vier Kategorien unterteilt:

    • Entschärfen Sie den Netzwerkverkehr zum/vom Internet.
    • Sichern Sie die Geräte von Schülern, Lehrern und Mitarbeitern.
    • Schützen Sie die Identität von Schülern, Lehrern und Mitarbeitern.
    • Führen Sie eine regelmäßige Wartung durch.

    "Es gibt bereits viele recht ausgefeilte Rahmenwerke für das Cybersecurity-Risikomanagement, aber sie sind für die Kapazitäten der Schulbezirke, für ihre Bedürfnisse, für die Menge an Geld und Ressourcen, die ihnen zur Verfügung stehen, überdimensioniert", sagte der nationale Direktor von K12 SIX, Doug Levin. [14]

    Und laut Kit Huynh, Senior Sales Engineering Manager bei Mimecast, "sind die IT-Direktoren in den Schulen überfordert, aber wir sehen, dass Gruppen wie K12 SIX einen einfachen Weg aufzeigen, wie sie die Situation besser in den Griff bekommen können." Unternehmen wie Mimecast bieten auch maßgeschneiderte Lösungen an, die die Grundlagen der Cybersicherheit für K-12 abdecken , wie z. B. E-Mail-Sicherheit, Web-Sicherheit, Datenarchivierung, Lehrerschulung und Integration der verschiedenen IT- und Sicherheitstools.

    Die Quintessenz

    Alle, von den Eltern vor Ort bis hin zu Präsident Biden, fordern Lösungen für die anhaltende Welle von Cyberangriffen auf Amerikas öffentliche Schulen. Der kürzlich unterzeichnete K-12 Cybersecurity Act legt den Fokus auf die dringendsten Bedürfnisse der Schulen und darauf, wie sie erfüllt werden können.

     

     

    [1] " K-12 Cybersecurity Act of 2021 ," U.S. Government Publishing Office

    [2] " K12 SIX Essential Cybersecurity Protections: Schuljahr 2021-2022 ," K12 SIX

    [3] " Erklärung von Präsident Joe Biden zur Unterzeichnung des K-12 Cybersicherheitsgesetzes ," Weißes Haus

    [4] " Datensicherheit: K-12 and Higher Education ," U.S. Department of Education

    [5] " Student Data Privacy Council Report ," Maryland State Department of Education

    [6] Schreiben des Kongresses vom 27. September 2021 , U.S. Congress

    [7] " Modernizing the E-rate Program for Schools and Libraries ," Consortium for School Networking et al

    [8] " Der Stand der K-12-Cybersicherheit: Jahresrückblick 2020 ," K-12 Cybersecurity Resource Center

    [9] " EdTech Leadership Survey Report 2021 ," COSN

    [10] " Teenager hackt Schulcomputersystem und legt den gesamten Schulbezirk lahm ," The Byte

    [11] " Jüngste Datenschutzverletzungen bei K-12 zeigen, dass Schüler anfällig für Schäden sind ," U.S. Government Accounting Office

    [12] " Schulen sollen keine Ransomware-Forderungen bezahlen. Parents Disagree, Survey Finds ," EdScoop

    [13] " Guide to the NIST Cybersecurity Framework: A K-12 Perspective ," K-12 Cybersecurity Resource Center

    [14] " Regierung arbeitet an Empfehlungen ," K12 SIX

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang