Cybersecurity für Bildungseinrichtungen

Digitalisierung ist in Bildungseinrichtungen nicht mehr wegzudenken. Sie  nutzen Softwarelösungen, Netzwerke und diverse digitale Geräte und Anwendungen in der Verwaltung und im pädagogischen Alltag.

Vielfach läuft beispielsweise die gesamte Kommunikation zwischen Einrichtung, Eltern und Lehrkräften über digitale Onlinepattformen und Apps. In der Verwaltung werden die Daten der angemeldeten Kinder und der Beschäftigten digital gespeichert und verarbeitet: Beiträge und Gehälter müssen berechnet, Vertretungspläne erstellt und Zahlungen transferiert werden – meist mithilfe digitaler Tools und Anwendungen.

Auch im Unterricht selbst kommen Tablets und andere Geräte für Internetrecherchen oder Lernapps zum Einsatz. Hausaufgaben und Gruppenarbeiten werden vielfach über onlineplattformen hochgeladen und bewertet. Bei all diesen Aufgaben und Vorgängen werden sensible Informationen wie Namen, Adressen, Fotos, Klassenbucheinträge, Zeugnisse, Stundenpläne, Gehalts- oder Gesundheitsinformationen als Daten gespeichert – auf Laufwerken, Servern oder in einer Cloud. Überall, wo Daten erfasst, gespeichert, verarbeitet, übertragen, gelöscht oder archiviert werden, können Cyberrisiken lauern.

Den handelnden Personen sind die Risiken meist nicht bewusst, aktuelle Sicherheitslücken in den Organisationen oft nicht bekannt oder ausreichend thematisiert. Selbst Hackerangriffe können (zunächst) unbemerkt bleiben und erst auffallen, wenn der Zugriff auf bestimmte Anwendungen nicht mehr möglich ist. Im Fall von Angriffen mit sogenannter Ransomware beispielsweise werden Daten durch Hacker verschlüsselt und Organisationen mit Lösegeldforderungen erpresst. Die Einrichtungen selbst können durch einen Cyberangriff quasi lahmgelegt werden, weil zentrale Systeme abgeschaltet werden müssen, Zugangsdaten geändert oder Daten gelöscht wurden. Konkret kann das bedeuten, dass die Überweisung von Gehältern, die Erstellung von Stundenplänen oder die Benachrichtigung von Eltern in Notfall nicht mehr gewährleistet werden kann.

Hinzu kommen die finanziellen Folgen: Cyberattacken gehen in der Regel mit hohen Ausgaben für Beratung, Neuanschaffungen und weiteren Folgekosten einher. Wird durch den Hackerangriff auf personenbezogene Daten zugegriffen, liegt meist ein DSGVO-Verstoß vor, der hohe Bußgeldzahlungen und Schadenersatzansprüche der Betroffenen nach sich ziehen kann. Nicht zuletzt müssen Bildungseinrichtungen nach einem solchen Angriff mit Vertrauens- und Reputationsverlust sowie den daraus folgenden Konsequenzen rechnen.

Oft geht die Gefahr dabei von den handelnden Personen selbst aus: Unbedarftes Öffnen von Links oder Anhängen in Mails, Passwörter, die weitergegeben oder offen einsehbar abgelegt werden, die Nutzung privater Geräte wie USB-Sticks oder Smartphones in internen Netzwerken – all das kann ausreichen, um Hackern Zugriff zu verschaffen oder Schadprogramme einzuschleusen.

Aber auch unverschlüsselte Netzwerke oder ungesicherte und ungeprüfte Geräte, veraltete Software, identische Passwörter und insbesondere nicht durchgeführte Updates und Sicherheits-Patches stellen große Risiken für die Sicherheit der Daten und Systeme dar.

Dabei lässt sich die Sicherheit bereits durch einfache Regeln und günstige Maßnahmen drastisch steigern. Insbesondere die Auseinandersetzung mit dem Thema unter Einbezug aller Nutzergruppen mit dem Ziel, Mitarbeitende, Lehrkräfte, Schülerinnen und Eltern zu sensibilisieren ist von zentraler Bedeutung. Erst die selbstkritische Reflektion des Umgangs mit Zugangsdaten, personenbezogenen Daten, Speicherverhalten oder Updates ermöglicht es, Sicherheitslücken zu erkennen und durch verbindliche Regeln, Prozesse und Verantwortlichkeiten zu schließen, auch unter Mitwirkung fachkundiger Experten. Nicht zuletzt stellen Cyberversicherungen heute eine sinnvolle Ergänzung dar, weil sie nicht nur Hilfestellung und finanzielle Absicherung im Schadensfall bieten, sondern bereits präventiv bei der Abwehr von Cyberangriffen unterstützen.