Wissen ist Macht, so der bekannte Spruch. Und Macht möchten viele auf dieser Welt haben. Macht über Daten zu haben, die viele wertvolle Informationen enthalten, ist heute das Ziel der Cyberkriminellen. Bekanntlich sitzt viel Wissen aus vergangener und aktueller Forschungsarbeit in den Datenbanken der vielen Universitäten dieser Welt. Und so waren Forschungsprojekte von Universitäten 2018 eines der begehrtesten Angriffsziele von kriminellen Hackern. Über 1.000 Angriffe fanden laut einer Statistik letztes Jahr in über 200 britischen Universitäten statt.

Das National Cyber Security Center, eine Unterabteilung der britischen Nachrichtenzentrale GCHQ, gab bekannt, dass es sich bei den meisten Angriffen auf britische Universitäten um Phishing-Angriffe handelte. Ziel sei es, damit Ransomware und Malware zu übertragen. Allerdings hätten es auch staatliche Akteure auf das geistige Eigentum der Universitäten abgesehen, hieß es. Der Druck, dem die Universitäten ausgesetzt sind, ist vielen durchaus bewusst. David Maguire, Vizekanzler der Universität Greenwich sagte, dass die Sicherheit der riesigen Datenmengen die Universitäten wirklich belasten würde.

Grund genug, dass sich das Parlament und die Sicherheitsexperten große Sorgen machten und Maßnahmen zur Verbesserung der Datensicherheit an britischen Universitäten forderten. Der erste Schritt war, großangelegte Penetrationstests gegen die Universitäten durchzuführen. Mit der Aufgabe beauftragt wurde Jisc. Jisc ist das Unternehmen, das Internet-Dienstleistungen für britischen Universitäten und Forschungszentren bereitstellt.

Die Sicherheitsexperten von Jisc führten simulierte Angriffe an mehr als 50 britischen Universitäten durch. Manche Unis wurden dabei sogar mehrfach angegriffen. Und der Testbericht war am Ende nicht nur ernüchternd, sondern vielmehr erschreckend. Es hieß darin, dass echte Hacker innerhalb von nur zwei Stunden oder weniger, an wichtige Daten gelangen konnten. Die etischen Hacker im Penetrationstest konnten aber auch problemlos auf personenbezogene Daten, Finanzsysteme und Forschungsnetzwerke der Unis zugreifen. Ihre Erfolgsquote beim Überlisten der IT-Sicherheitsabwehr war 100 %. Am effektivsten, so der Bericht, waren Spear-Phishing-Angriffe.

John Chapman, Leiter des Jisc Sicherheitszentrums, warnte vor dem Risiko eines „katastrophalen Datenverlusts oder eines Netzwerkausfalls“. Zu den Testergebnissen sagte er:

„Wir sind ziemlich sicher, dass alle britischen Universitäten über keine ausreichenden Kenntnisse, Fähigkeiten und Investitionen im Bereich Cybersicherheit verfügen“.

Für Chapman ist klar, dass Cyberangriffe zukünftig nur noch raffinierter und häufiger werden. Universitäten können es sich, seiner Ansicht nach, nicht leisten, angesichts dieser sich ständig weiterentwickelnden Bedrohung in Stillstand zu verfallen. Chapman veröffentlichte eine mehrseitige Notiz, die das gesamte Thema ausführlich beleuchtet und auch hervorhebt, wie weitere Schritte zur Verbesserung der Situation angegangen werden können. Er bezieht die Regierung in diese Schritte mit ein.

Auf der anderen Seite des Atlantiks sieht SANS Sicherheitsexperte William Hugh Murray ein ähnliches Szenario bei den US-Universitäten und Colleges. Murray meint aber, die US-Universitäten seien schon wesentlich sicherer als noch vor einer Generation. Damals hätte die Clinton-Regierung bereits festgestellt, dass 75 % der Cyberangriffe direkt zu Colleges oder Universitäten zurückverfolgt werden konnte, aber keinen Schritt weiter ins Innere.

Artikel von bbc.com, 04.04.2019: Hackers beat university cyber-defences in two hours
Artikel von hepi.ac.uk, April 2019: How safe is your data? Cyber-security in higher education

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0