Der Bildungssektor zählt zu den am stärksten betroffenen Bereichen in Sachen Cyberangriffe. Das fanden Experten von Bitdefender bei der monatlichen Auswertung von Ransomware-Daten für März heraus. Die Bedrohungen gehen vornehmlich von Typosquatting und Business Email Compromises aus. Vor allem eins macht den Bildungssektor zu einem Spezialfall in Sachen Cybersecurity: Es gibt Benutzer mit extrem unterschiedlichen Erfahrungsstufen.
Junge Schüler zum Beispiel können nicht alle Gefahren richtig einschätzen und wissen nicht, wie sie auf Betrugsversuche reagieren sollen. Oft werden unerfahrene Nutzer von Angreifern dazu verführt, implementierte Sicherheitskontrollen zu umgehen, und geben somit diesen die Möglichkeit, in die IT-Systeme einzudringen. Hinzu kommt, dass die IT-Infrastruktur oft über viele verschiedene physische Standorte hinweg verteilt ist und häufig gleich mehrere veraltete Technologien zum Einsatz kommen.
Typosquatting und Business Email Compromises (BEC) nutzen laut Bitdefender genau diese Schwachstellen aus.Typosquatting setzt auf häufige Tippfehler in bekannten URLs, um Nutzer auf gefälschte Webseiten zu locken. BEC-Angreifer geben sich in der Regel als eine andere Person aus, um ihre Opfer zu betrügen, indem sie Überweisungen veranlassen oder sich in Gespräche einschalten, um Zahlungen umzuleiten. Bei beidem handelt es sich um schon ältere Cyber-Bedrohungstaktiken.
Diese würden sich jedoch ständig weiterentwickeln, um ihre Opfer noch besser zu täuschen. Auch treten sie immer häufiger auf: Seit 2021 verzeichnet Bitdefender einen deutlichen Anstieg von Typosquatting und Leaks von Zugangsdaten. Auf Kunden aus dem Bildungswesen entfielen dabei im Jahr 2022 rund 45 Prozent dieser Warnungen, während es ein Jahr zuvor noch 17 Prozent waren. Was die Typosquatting-Aktivitäten angeht, so hat das Bitdefender Team seit Anfang 2022 mehr als 1.000 solcher Warnungen untersucht und diese Zahl steigt stetig an.
Der Zugang ins System führt über die Nutzerdaten
Anmeldedaten werden gemäß dem Bitdefender-Dokument oft von externen Anwendungen und Konten gestohlen, wenn Benutzer nicht bewährten Verfahren folgen - zum Beispiel, weil sie dieselben Zugangsdaten, die sie in ihrer Organisation nutzen, auch bei anderen Konten verwenden. Werden diese Konten gehackt, gelangen die Zugangsdaten ins Dark Web. Die Bedrohungsakteure können diese E-Mail-Adressen, Benutzernamen oder Passwörter missbrauchen.
Damit sind sie perfekt gerüstet, um ihre Erkundung zu beginnen und ihren Angriffsplan auszuarbeiten. Mithilfe von Informationen aus verschiedenen Quellen können die Angreifer dann Phishing-Mails mit schlüssig erscheinenden, zeitkritischen Handlungsanweisungen verschicken oder sich bei einem Telefonanruf dank Insider-Informationen als interne Benutzer ausgeben, um sich weiteren Zugang zu verschaffen.
Die richtige Abwehr schaffen
Der Trend ist deutlich: Angreifer werden auch weiterhin vermehrt Typosquatting und BEC als bewährte Angriffsvektoren nutzen, um in schlecht geschützte Systeme einzudringen und unerfahrene Nutzer zu täuschen. Vor allem der Bildungsbereich muss sich gemäß Bitdefender wegen der vermehrt verzeichneten Angriffe wappnen. Deswegen sei es wichtig in Bildungseinrichtungen, grundlegende Sicherheitsprinzipien zu befolgen. Diese Defense-in-Depth-Taktik, eine Kombination aus anwendbaren Tools und bewährten Verfahren, schafft die Voraussetzung, um Angriffe zu stoppen.
Folgende Punkte gilt es dabei besonders zu beachten:
- Software und Hardware müssen regelmäßig mit Patches versorgt und auf die neueste Version aktualisiert werden, um Angriffe zu verhindern.
- Umsetzung etwa der Critical-Security-Controls-Richtlinien des Center for Internet Security.
- Implementierung einer starken Multifaktor-Authentifizierung und Anwendung der Least-Privilege-Policy für alle Benutzer.
- Identifizierung von Mitarbeitern oder Teams, die ein hohes Risiko haben, Ziel von Social-Engineering-Kampagnen zu werden und deren Schulung.
- Überprüfung von Anmeldedaten mittels öffentlicher Datenbanken wie HaveIBeenPwned oder Threat Intelligence Feeds. Regelmäßige Passwortänderungen, die auf Komplexität und Schutz vor Wiederverwendung setzen.
- Einführung von Richtlinien zur Nutzung von E-Mail-Adressen der Organisation.
- Nutzung von Informationen der Cybersecurity Community über aktuelle verdächtige oder bösartige Aktivitätenüber ISACs (Information and Analysis Centers) und Intelligence-Feeds, um über
- Installation von Sicherheitstools, die Aktivitäten auf Benutzergeräten überwachen, blockieren und dafür sorgen, dass alle Geräte im Netzwerk für die Sicherheitsüberwachung sichtbar sind.