Schon seit längerer Zeit hört man immer wieder von Fällen, bei denen die IT in Firmen, Krankenhäusern und Verwaltungen durch sogenannte Ransomware lahmgelegt wird. Sehr häufig geschieht dieses, indem Mitarbeiter ein E-Mail öffnen, welches eine Schadsoftware enthält. Diese verschlüsselt zunächst die Dateien auf dem Rechner, auf welchem die Schadsoftware durch das E-Mail gelandet ist. Danach werden alle mit diesem Rechner verbundenen Festplatten und Rechner, auch Server, ebenfalls verschlüsselt, sofern sie nicht über Schutzmechanismen verfügen. In Folge der Verschlüsselung können Mitarbeiter nicht mehr auf die Daten im System zugreifen. Wenn der Angriff durch die Ransomware nicht rechtzeitig entdeckt wurde und auch die Backups verschlüsselt wurden, besteht auch keine Möglichkeit mehr, die durch Verschlüsselung unzugänglichen Daten aus einem Backup wiederherzustellen. In der Regel stellt die Ransomware unmittelbar eine Lösegeldforderung an die Betroffenen. Oft ist diese in Form der virtuellen Währung Bitcoin zu bezahlen, um die Spuren zu verwischen und die Ermittlung der Täter zu erschweren. Wie man mit Bitcoin bezahlt, erklären die Hacker ihren Opfern mittels Anleitungen, oft sogar in Form eines Videos. Wie hoch die Lösegeldforderungen sind, hängt mitunter davon ab, wie die Hacker ihre Opfer einschätzen. In den USA gab es 2019 Fälle, bei denen die Stadtverwaltungen von Kleinstätten gezwungen waren, ein Lösegeld zu zahlen, da sämtliche Verwaltungsdaten ohne Zahlung verloren gewesen wären. Es ging in diesen Fällen um Zahlungen von etwa eine halben Million Dollar.
Wie jetzt aus dem Beitrag Cyberangriffe auf Schulen gefährden Schülerdaten (Neue Westfälische 31.07.2019) zu erfahren ist, waren auch schon Schulen in NRW in den vergangenen Monaten Opfer von Erpressungen durch Hacker. Eigentlich sollten technische und organisatorische Maßnahmen zum Schutz vor derartigen Angriffen selbstverständlich sein, auch in Schulen. Das ist jedoch, wie der Zeitungsbericht deutlich macht, nicht immer der Fall. An den einzelnen Schulen hängt vieles vom KnowHow vor Ort ab, sowohl beim Schulträger und bei beauftragten IT Dienstleistern, wie auch von den finanziellen Ressourcen und daraus resultierend der Ausstattung schulischer Netzwerke.
Wie können sich Schulen vor Ransomware schützen?
Sowohl die Schulgesetze wie auch die Datenschutzgesetzgebung verpflichtet Schulen als verantwortliche Stellen, für den Schutz und die Sicherheit der in der Schule verarbeiteten personenbezogenen Daten zu sorgen.1Siehe auch VO-DV I
§ 2
Verfahren der automatisierten Datenverarbeitung
(1) Die automatisierte Verarbeitung der personenbezogenen Daten ist zulässig auf ADV-Arbeitsplätzen und in Netzwerken, die für Verwaltungszwecke eingerichtet sind, auf sonstigen schulischen ADV-Anlagen und in
sonstigen Netzwerken, wenn jeweils über die Konfiguration die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und
Transparenz gemäß § 10 des Datenschutzgesetzes Nordrhein-Westfalen
gewährleistet sind. Dazu gehört nicht nur ein Schutz vor unberechtigten Zugriffen, sondern auch ein Schutz vor Verlust der Daten. Wie in den meisten Fällen, wenn es um den Schutz von (personenbezogenen) Daten geht, gibt es auch hier zwei Teilbereiche, in denen man vorsorgen kann.
Technische Maßnahmen
Zum Schutz vor Ransomware ist auf technischer Seite ein Bündel an Maßnahmen erforderlich.
- Auf allen schulischen Rechnern sollte ein guter und immer aktueller Virenschutz laufen.
- Das Betriebssystem sollte aktuell sein und alle Sicherheitsupdates sollten eingespielt sein.
- Da Virenscanner und Betriebssystem Updates nie einen einhundertprozentigen Schutz garantieren können, sollten von wichtigen Daten sollten regelmäßig Backups angelegt werden. Besonders wichtig ist dabei: diese Backups sollten auf Medien abgelegt werden, die physikalisch vom schulischen Netzwerk getrennt sind. Das kann eine externe Festplatte sein, ein USB Stick, eine DVD oder ein Bandspeicher. Das gilt auch für Sicherungen von Server-Verzeichnissen!2Grundsätzlich sollte es immer auch ein Backup geben, welches außerhalb der Schule gelagert wird, da es neben Ransomware auch das Risiko von physikalischer Zerstörung von Datenspeichern in der Schule geben kann, etwa durch Feuer oder Vandalismus.
- Bei Windows Systemen, die in Schulen am weitesten verbreitet sind, ist das Remote Desktop Protocol (RDP) auch 2019 noch immer ein wichtiger Angriffsweg für Ransomware, um Rechner im Netzwerk zu infizieren. Aus diesem Grund sollte das Remote Desktop Protocol (RDP) auf Windows Rechnern deaktiviert sein.
- Um in Schule tätigen Personen das Erkennen von möglicherweise gefährlichen Dateianhängen zu erleichtern, sollte auf Windows Systemen die Erweiterungen (Dateiendungen) bei bekannten Dateitypen nicht ausgeblendet werden (Explorer Einstellung).
- Eine weitere Schutzmöglichkeit besteht darin, Berechtigungen innerhalb der Verzeichnisse des Netzwerks auf die tatsächlichen Erfordernisse zu beschränken. Nicht jeder in Schule muss Zugriff auf alle Bereiche in der Dateiablage haben. Hat eine Person z.B. Schreibrechte in Bereichen, die für sie nicht relevant sind, und sie wird aktiviert einen Ransomware Trojaner, so kann dieser alle Dateien verschlüsseln, für welche sie Schreibrechte besitzt.
- Um die Gefahr schädlicher Links zu reduzieren, können in einigen E-Mail Clients Links deaktiviert werden. Für Thunderbird gibt es eine Erweiterung (TORPEDO), welche Links überprüft und auf Phishing Gefahren aufmerksam macht.
Schulleitungen sollten sich hier mit ihremSchulträger oder beauftragten IT Dienstleistern in Verbindung setzen und klären, welche technischen Maßnahmen bereits getroffen wurden, um die schulische IT, vor allem im Bereich der Schulverwaltung, entsprechend zu schützen, und wo eventuell zusätzliche Schutzmaßnahmen erforderlich sind.
Organisatorische Maßnahmen
Ransomware ist vor allem erfolgreich, da an Computern Menschen sitzen, auf welche Hacker es abgesehen haben. Benutzer öffnen schadhafte Anhänge, klicken auf unsichere Links oder laden Schadprogramme herunter und öffnen damit Ransomware Tür und Tor zum Zugriff auf einen Rechner und oftmals auch das schulische Netzwerk oder zumindest Teile davon. Begegnen kann eine Schule diesem nur durch eine Schulung und Sensibilisierung der in Schule tätigen Personen. Wichtige Themen sind hierbei:
Sicherer Umgang mit E-Mails
Vor allem wenn E-Mails Anhänge enthalten oder Links, sollte Vorsicht walten.
-
- Ist der Absender unbekannt?
- Kam das E-Mail unerwartet?
- Wird im E-Mail darauf gedrängt, einen Anhang schnellstens zu bearbeiten oder einen Link unverzüglich aufzurufen?
- Enthält das E-Mail ungewöhnliche Fehler in Rechtschreibung und Grammatik?
- Hat der Anhang eine ungewöhnliche Dateiendung?
Im Zweifelsfall versichert man sich bezüglich der Echtheit des E-Mails mit einem Telefonanruf beim Absender. Anstatt Links in E-Mails direkt aufzurufen, gibt man einen Link besser im Browser von Hand ein oder geht über Lesezeichen, wenn es ein Link ist, der öfter genutzt wird. Je nach E-Mail Programm kann man sich die URL des Links auch anzeigen lassen und nachsehen, ob sie mit dem Text im E-Mail übereinstimmt.
Mittlerweile arbeiten Hacker vielfach sehr zielgerichtet und informieren sich über ihre Opfer.3Aus den USA sind hierzu zahlreiche Beispiele bekannt. Die Organigramme von Schulen und Schulverwaltungen bzw. Kontaktinformationen könnten dabei wertvolle Informationen liefern. Aus ihnen lassen sich nicht nur E-Mail Adressen entnehmen, sondern auch in welchem Verhältnis Personen zueinander stehen. So wäre es für Hacker recht einfach, einer Schulverwaltungskraft eine E-Mail mit der gefälschten E-Mail Adresse der Schulleitung zu senden und einem Anhang, etwa mit der Bitte, das Protokoll dringend noch einmal zu überprüfen. Wer wird da nicht verwundert wissen wollen, was es mit der Bitte auf sich hat. Ob und wann Hacker sich solcher Strategien auch bei Schulen bedienen, ist schwierig abzuschätzen. Trotzdem sollten Mitarbeiter in Schulen über solche und vergleichbare Strategien aufgeklärt werden.
Sicheres Surfen
Eigentlich sollte das ein bekanntes Thema sein, doch nicht jedem ist klar, dass auch auf Websites Ransomware auf Download und Ausführung lauern kann. Deshalb gilt, dubiose Seiten meiden, auch beim Ansteuern von bekannten Seiten immer mal auf die Adresszeile im Browser schauen, ob die URL stimmt und die Verbindung sicher ist.
Installation von Programmen aus unsicheren Quellen
An vielen Schulen ist es nicht gewünscht oder sogar aktiv unterbunden, dass Benutzer Programme eigenständig auf schulischen Rechnern installieren. In Schulen, wo eine Programminstallation möglich ist, sollten Benutzer darauf achten, Programme nur von bekannten, sicheren Quellen herunterzuladen und zu installieren.
Wie reagieren, wenn der Rechner befallen ist?
Sollte es passieren, dass ein Rechner doch von Ransomware infiziert wurde, sollte man diesen Rechner sofort vom Netzwerk abklemmen, wenn möglich, und herunterfahren. Danach müssen die Verantwortlichen informiert werden, so dass ein Fachmann den Schaden eingrenzen und beheben kann.
Ransomware Informations Flyer
Um Mitarbeitern in Schule eine Merkhilfe an die Hand zu geben, gibt es einen Flyer zum Download.4Wer eine bearbeitbare Version für Anpassungen haben möchte, kann diese per E-Mail erfragen.
Download Ransomware Flyer.pdf