Deutscher Bildungs Server

Wussten Sie, dass der Bildungsbereich weltweit zu den beliebtesten Zielen von Hacker*innen gehört? In allen Statistiken und Berichten zum Thema steht das Bildungswesen als Opfer von Cyberangriffen immer auf den ersten Plätzen. Woran liegt das? In einem Artikel der Firma Infosec werden die wichtigsten Aspekte gut zusammengefasst:

Im Bildungswesen laufen viele persönliche Daten zusammen, die sonst bei separaten Institutionen abgegriffen werden müssten, wie Geburtsurkunden, Sozialversicherungsnummern, Bankdaten oder nicht zuletzt auch wertvolles geistiges Eigentum. Diese Mischung an sensiblen Daten in einer IT-Infrastruktur macht den Bereich Bildung für Hacker*innen besonders interessant.

Gleichzeitig ist der sogenannte „menschliche Faktor“, der auch in anderen Bereichen in der Regel eine der Hauptursachen für Sicherheitslücken ist, im Bildungssektor besonders sensibel: Zu einem wesentlichen Teil hat man es hier mit Kindern und Jugendlichen bzw. jungen Menschen zu tun, die überproportional viele digitale Medien nutzen, gleichzeitig aber leichter in digitale Fallen laufen und die Konsequenzen ihres Handels noch nicht so gut beurteilen können.

Ein weiterer ernüchternder Grund für die Anfälligkeit des Bildungswesens, was Hackerangriffe angeht, ist ausgerechnet seine Politik der relativen Offenheit der angebotenen IT-Infrastruktur. Das heißt zum Beispiel bei öffentlichen Unis, dass jede Person, die sich einschreibt, oder auch jeder wissenschaftliche Gast Zugang zur IT-Infrastruktur bekommt.

Wenn man dies alles dann noch addiert zu einem Bildungswesen, das weltweit immer mit knappen Ressourcen – sowohl finanziell als auch personell – zu kämpfen hat, wo in Schulen, aber auch an Universitäten, desöfteren schlecht geschulte Lehrende zuständig für viele IT-Fragen sein müssen – wenn man das alles zusammennimmt, ergibt sich eine ideale Angriffsfläche für Hacker*innen weltweit. 

In unserem Webdossier geben wir anhand vielfältiger Quellen wie Berichten, Analysen, Statistiken, aber auch Überblicksartikeln in verschiedenen Medien einen Einblick in das Thema Hackerangriffe und Cybersicherheit im Bildungswesen. Dabei wird sowohl der Themenkomplex "Cyberkriminalität innerhalb der Bildung" beleuchtet als auch der Themenkomplex "Bildung zu Cybersicherheit". Außerdem geben wir Beispiele aus verschiedenen Ländern zum dortigen Umgang mit Cyberkriminalität im Bildungswesen und Bildung zu Cybersicherheit.

Wir weisen darauf hin, dass ein großer Teil der Informationen, die zu dem Thema bisher zu finden sind, von Unternehmen stammen, die selbst im Bereich Cybersicherheit tätig sind. 

• "Critical security concerns for the education industry. Balancing cybersecurity & compliance requirements in a resource-limited industry" von Susan Morrow (14.07.20)
  https://resources.infosecinstitute.com/topic/critical-security-concerns-for-the-education-industry/
  Veröffentlicht auf der Webseite des Infosec Institute (Cengage Group)


• "What Are Cybersecurity Education Papers About? A Systematic Literature Review of SIGCSE and ITiCSE Conferences" von Švábenský, Vykopal & ÄŒeleda (2019)
  https://arxiv.org/pdf/1911.11675.pdf
  Veröffentlicht auf dem Open Access Server "arXiv" der Cornell University. Artikelversion der Autoren (~preprint). ITiCSE: Conference on Innovation and Technology in Computer Science Education. SIGCSE: Special Interest Group for Computing Education der Association for Computing Machinery (ACM).


• "Cyber Security Education. Principles and Policies" hrsg. von Greg Austin (2020)
  https://doi.org/10.4324/9780367822576
  Kostenpflichtiges Buch. Frei einsehbar sind die Abstracts der einzelnen Kapitel.

Die Live Cyber Threat Map veranschaulicht anhand von Daten gerade stattfindende Cyberangriffe weltweit. Dazu gibt es u.a. noch Informationen zu den 3 meistbetroffenen Wirtschaftszweigen im rechten Menüfeld. Die Bildung steht leider oft in den Top 3. Bei kleineren Bildschirmen versteckt sich die Info am unteren mittigen Bildrand hinter einem kleinen weißen Pfeil. Auf den Pfeil klicken und weiter auf den zweiten kleinen weißen Punkt, um die meistbetroffenen Wirtschaftszweige zu sehen.

• Check Point Research: Education sector experiencing more than double monthly attacks, compared to other industries
  https://tinyurl.com/CheckPointReport2022
  
  Zusammenfassung aus dem "Cyber Attack Trends: 2022 Mid-Year Report" der israelischen Firma Check Point.
  Die Berichte und Analysen der Firma Check Point gehören zu den bekanntesten auf dem Gebiet der Cybersicherheit. Die Firma bietet selbst Sicherheitslösungen für Unternehmen an.



• "2018 Education Cybersecurity Report" by SecurityScorecard
  https://securityscorecard.com/resources/2018-education-report
  
  SecurityScorecard ist ein in New York City ansässiges IT-Unternehmen, das IT-Sicherheitslösungen anbietet. Unter anderem veröffentlichte das Unternehmen 2018 einen Bericht zur Cybersicherheit im Bildungswesen.



• "2022 Data Breach Investigations Report: Data Breaches in Education" by Verizon
  https://www.verizon.com/business/resources/reports/dbir/2022/data-breaches-in-education/
  ab 2014: https://www.verizon.com/business/resources/reports/dbir/#archive
  
  Verizon ist ein großer US-amerikanischer Telekommunikationskonzern. Einer größeren Öffentlichkeit bekannt wurde er zum einen 2008, als es um das Ausspionieren von Mobilfunkdaten des damals designierten US-Präsidenten Obama ging; zum anderen ab dem Jahr 2013 mit den ersten Enthüllungen Snowdens darüber, dass die US-Regierung routinemäßig die Herausgabe aller Verbindungsdaten vom Provider Verizon verlange. Bis Juni 2014 agierte Verizon auch als Internetprovider für den Deutschen Bundestag.
  Seit 2014 gibt Verizon den Data Breach Investigations Report heraus. Darin werden durch Cyberangriffe entstandene Datenschutzverletzungen weltweit auch nach Branchen analysiert.
  Wir bieten hier den Link zum Bericht 2022 für den Bereich Bildung an. Der Bericht liest sich relativ technisch, bietet aber auch einen Vergleich zu Datenschutzverletzungen in anderen Bereichen an (siehe hierfür "Intro into industries").

• "Cyber security posture surveys" by JISC
  2017-19, 2022: https://www.jisc.ac.uk/reports/cyber-security-posture-surveys
  2021 (Highlights): https://tinyurl.com/JISCReportHighlight2021
  
  Das Joint Information Systems Committee (JISC) ist "eine britische gemeinnützige Organisation zur Förderung digitaler Technologien in Forschung und Lehre" (siehe Wikipedia-Artikel über JISC). Neben dem Cyber Security posture survey hat JISC 2020 auch einen Cyber Impact Report veröffentlicht, der 2022 in einer aktualisierten Fassung erhältlich ist.



• "Cyber Impact Report" by JISC
  2020, 2022: https://www.jisc.ac.uk/reports/cyber-impact
  
  Wem der Bericht zu lang ist, der kann in JISCs Blog auch eine Kurzzusammenfassung davon lesen:
  "Latest cyber impact report underlines ransomware as a huge threat, but financial cost of attacks is still unclear"
  https://www.jisc.ac.uk/blog/latest-cyber-impact-report-underlines-ransomware-as-a-huge-threat-20-apr-2022

• Sicherheit zu Beginn der Schulzeit: Cyberangriffe auf das Bildungswesen
  https://www.wallix.com/de/blog/sicherheit-zu-beginn-der-schulzeit-cyberangriffe-auf-das-bildungswesen/
  Wallix, französisches Unternehmen für Cybersicherheit
• Check Point gibt Sicherheitstipps für den Schul- und Semesterstart (07.09.22)
  https://www.infopoint-security.de/check-point-gibt-sicherheitstipps-fuer-den-schul-und-semesterstart/a32079/
  Infopoint Security, Informationsplattform für Cybersicherheit aus Deutschland
• Technology Education Day: Junge Generation in IT-Sicherheit unterrichten (22.09.22)
  https://www.infopoint-security.de/technology-education-day-junge-generation-in-it-sicherheit-unterrichten/a32258/
  Infopoint Security, Informationsplattform für Cybersicherheit aus Deutschland
• Education sector most at risk of cyber attack (11.08.22)
  https://edtechnology.co.uk/cybersecurity/education-sector-most-at-risk-of-cyber-attack/
  Education Technology, Online-Magazin aus England
• New research suggests universities do not have ‘adequate cybersecurity controls’ (04.08.22)
  https://edtechnology.co.uk/cybersecurity/heis-lack-cybersecurity-controls/
  Education Technology, Online-Magazin aus England
• Why Cybersecurity needs to be a Priority for the Education Sector
  https://swivelsecure.com/solutions/education/why-cybersecurity-needs-to-be-a-priority-for-the-education-sector/
  Swivelsecure, ein Unternehmen für Authentifizierungslösungen aus England

• US Department of Education – Office of Educational Technology - Cybersecurity
  https://tech.ed.gov/cyberhelp/
• Cyber Threats to K-12 Remote Learning Education
  https://www.cisa.gov/stopransomware/cyber-threats-k-12-remote-learning-education
  Aus der Seite "Stop Ransomware" der US-Regierung

• Cyber Security Breaches Survey 2022 - Educational institutions findings annex (UK government)
  https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1064445/Education_annex_-_cyber_security_breaches_survey_March_2022__WEB_.pdf
• Cyber security: programmes and resources for schools and further education (UK government)
  https://www.gov.uk/government/publications/cyber-security-programmes-and-resources-for-schools-and-further-education
• Guidance: Indicators for potential fraud: education providers (UK government)
  https://www.gov.uk/government/publications/indicators-of-potential-fraud-learning-institutions
• Cyber Security for Schools (UK government)
  https://www.ncsc.gov.uk/section/education-skills/cyber-security-schools

• Cybersécurité en France : la délicate question de l’éducation et de la formation (2022)
  https://www.nextinpact.com/article/69563/cybersecurite-en-france-delicate-question-leducation-et-formation
• Cybersécurité : Pix, l’ANSSI et Cybermalveillance.gouv.fr s’associent pour développer les compétences du grand public (2022)
  https://pix.fr/actualites/partenariat-pix-anssi-cybermalveillance/
• Au collège et au lycée, former à la cybersécurité par le jeu !
  https://www.ssi.gouv.fr/actualite/au-college-et-au-lycee-former-a-la-cybersecurite-par-le-jeu/
  ANSSI Agence nationale de la sécurité des systèmes d'information
• MOOC pour s'initier à la cybersécurité
  https://secnumacademie.gouv.fr

• Five years of cyber security education reform in China (2020)
  https://www.taylorfrancis.com/chapters/edit/10.4324/9780367822576-11/five-years-cyber-security-education-reform-china-greg-austin-wenze-lu
  Buchkapitel, leider kostenpflichtig. Evtl. kann man ein kostenloses Exemplar direkt bei den Autoren anfordern: https://www.researchgate.net/publication/342863030_Five_years_of_cyber_security_education_reform_in_China
• China’s CyberAI Talent Pipeline (2021)
  https://cset.georgetown.edu/publication/chinas-cyberai-talent-pipeline/

• Cyber Education in Israel  (Information Security Thought Paper)
  https://www2.gov.bc.ca/assets/gov/british-columbians-our-governments/services-policies-for-government/information-management-technology/information-security/cyber_education_in_isreal.pdf
  Government of British Columbia (Canada). Vergleich mit Kanada.

• Magshimim - National Cyber Education Program Israel
  https://rashi.org.il/en/programs/magshimim/
  https://cyber.org.il/about-us-eng/

• Canadian Centre for Cyber Security > Education and community > Academic Outreach and Cyber Skills Development
  https://cyber.gc.ca/en/education-community/academic-outreach-cyber-skills-development
• Cybersecurity Education Portal
  https://ep.technationcanada.ca
  https://technationcanada.ca/en/future-workforce-development/career-finder/education-portal/