Cybersicherheit in der Bildungsbranche

Opfer: Bob

Rolle: Fakultät an einer privaten Universität.

Fehler: Er klickte auf einen per E-Mail erhaltenen Link, der ihn angeblich zu einem Förderungsantrag für sein Forschungsgebiet weiterleitet.

Ergebnis: Der schädliche Link löst einen Ransomware-Angriff aus, der in das Netzwerk der Universität eindringt und ihre Technologiesysteme zum Erliegen bringt.

Folgen:

• Universitätsdienste sind betroffen, einschließlich E-Mail, Benotungssysteme und Transaktionen des Bursar Office
• Die Universität muss geschlossen bleiben, bis die Krise bewältigt ist
  
  
  

Bobs Optionen:

1. Lösegeld zahlen – ohne Garantie

• Dateien weiter verschlüsselt? Nicht vollständig zugänglich?
• Gestohlene Daten verkauft oder verwertet?

2. Server aus Daten-Backups wiederherstellen

Ransomware in Zahlen:

• 

  $ 7,5 Mrd.+

  Kosten für Ransomware-Angriffe in den USA 2019

• 

  8,1 Mio

  Durchschnittliche Kosten eines Ransomware-Angriffs

• 

  287 Tage

  Durchschnittliche Zeit für die Erholung von einem Angriff

Leicht durchführbar und mit hoher Erfolgschance

Opfer: Penelope

Rolle: Professorin am Wiggham Community College

Fehler: Sie erhält eine E-Mail „von der IT-Abteilung“ zur Aktualisierung ihrer Anmeldedaten, klickt auf den Link und gibt ihre Daten auf einer Website ein, die seriös aussieht.

Ergebnis: Der Hacker verwendet gestohlene Anmeldedaten, um auf das Netzwerk des Community College zuzugreifen.

Folgen:

Hacker können jetzt wertvolle personenbezogene Daten von Dozenten und Studierenden stehlen

• Namen, Adressen, etc.
• Gesundheitsakten von Studierenden
• Gehaltsabrechnung/Finanzielle Informationen

Gestohlene personenbezogene Daten können für finanziellen Gewinn verwendet werden

• Identitätsdiebstahl
• Überweisungsbetrug
• Steuerbetrug

Datenschutzpannen nach Zahlen:

• 

  8,1 Mio. $

  Durchschnittskosten eines Datensicherheitsverstoßes im Bildungswesen (USA)

• 

  3.533 $

  Durchschnittskosten eines Datensicherheitsverstoßes

• 

  142 $

  Durchschnittskosten eines Datensicherheitsverstoßes im Bildungswesen

94 % der Organisationen erlebten einen Phishing-Angriff

Opfer: Joan

Rolle: Professorin an der Hopper University

Szenario:

• Joan führt Forschungsarbeiten für das US-Verteidigungsministerium durch.
• Staatliche Hacker haben den Fortschritt von Joans Forschungslabor verfolgt.
• Hacker starten ein Phishing-Programm, dem einer von Joans Studierenden zum Opfer fällt.

Ergebnis: Staatliche Hacker stehlen geheime Forschungsergebnisse und stellen sie ihrer Regierung zur Verfügung.

Folgen:

• Die nationale Sicherheit der USA ist gefährdet.
• Reputationsschäden für die Universität.
  
  

Beispiel aus der Realität:

Iranische Hacker stahlen Anmeldedaten von Professoren, Forschungsdaten und IP

Datenschutzpannen nach Zahlen:

• 

  31 Tbyte

  Menge der gestohlenen Dokumente und Daten

• 

  144

  Anzahl der kompromittierten amerikanischen Universitäten

• 

  8.000

  Anzahl der kompromittierten E-Mail-Konten

In den USA ansässige Universitäten gaben ~3,4 Milliarden Dollar für die Beschaffung von und den Zugang zu Daten und geistigem Eigentum aus, das von iranischen Hackern gestohlen wurde

Opfer: Jack

Rolle: Universitätsstudierender

Fehler:

• Verzweifelt bemüht, den Druck seiner Eltern wegen seiner schlechten akademischen Leistungen loszuwerden.
• Entwickelt eine gefälschte Website, die die Anmeldedaten der Benutzer stiehlt, und sendet den Link an seine Professoren.

Ergebnis: Jack verwendet gestohlene Anmeldedaten, um auf das Netzwerk zuzugreifen, sich in das Benotungssystem einzuloggen und seine Noten zu verbessern.

Folgen:

• Reputationsschäden für die Universität.
• Kompromittierte Unterlagen von Studierenden.
  
  

Die wichtigsten sicherheitsbezogenen Herausforderungen:

• 

  60 %

  Anteil der E-Mails von Mitarbeitern am gesamten E-Mail-Volumen

• 

  99 %

  der Malware wird per E-Mail und Web verteilt

• 

  59 %

  erleiden negative Auswirkungen eines Angriffs per E-Mail*

Bis zu 60 % des E-Mail-Verkehrs wird nicht überprüft und gesichert