Britische Universitäten stehen unter Beschuss: So reagieren sie ISMS.online

Die britischen Universitäten stehen unter Beschuss: So reagieren sie

Von Phil Muncaster • 25 Juni 2024

Die britischen Universitäten werden von allen Seiten angegriffen. Ein Bericht Im letzten Jahr wurde bekannt, dass Dutzende von Institutionen in den letzten sechs Jahren mindestens 122 bis 156 Millionen Pfund aus chinesischen Quellen angenommen hatten. Das Problem? Etwa ein Fünftel dieser Spenden kam von Einrichtungen, die von den USA wegen ihrer Verbindungen zum chinesischen Militär sanktioniert wurden. Die Enthüllungen unterstreichen die Spitzenforschung, die viele Universitäten betreiben, und ihre strategische Bedeutung für bestimmte Regierungen.

Immer wachsam gegenüber der Bedrohung, MI5 informierte kürzlich Rektoren von 24 führenden Universitäten über anhaltende staatlich unterstützte Bemühungen, geistiges Eigentum zu erlangen. Aber es sind nicht nur Nationalstaaten, gegen die sie sich verteidigen müssen. Auch die Bedrohung durch finanziell motivierte Cyberkriminelle ist groß.

Schwer zu verteidigen

Der Hochschulsektor leistet einen oft unterschätzten Beitrag zur Volkswirtschaft. Laut der neuesten ZahlenUniversitäten und andere Hochschulen erwirtschaften jährlich 71 Milliarden Pfund Bruttowertschöpfung (GVA) und 130 Milliarden Pfund allgemeine Wirtschaftsleistung. Das allein ist schon ein Grund, sie vor Nationalstaaten und Cybercrime-Gruppen zu schützen.

„Cyber bietet einen Weg, an Informationen zu gelangen, die ihnen sonst nicht zur Verfügung stehen“, so die Nationales Cybersicherheitszentrum (NCSC) sagt über staatlich unterstützte Akteure. „Es wird wahrscheinlich anstelle oder in Verbindung mit traditionellen Wegen genutzt, um Zugang zu Forschung zu erhalten, wie etwa Partnerschaften, ‚abgeordnete Studenten‘ oder Direktinvestitionen.“

Doch Hochschulen stehen bei ihren Bemühungen, die Cyber-Resilienz zu verbessern, vor zahlreichen Herausforderungen. Zum einen nutzen viele Mitarbeiter und Studenten ihre Netzwerke. Das macht Phishing zu einer beliebten Methode, um an Netzwerkzugangsdaten und personenbezogene Daten (PII) zu gelangen. Es hilft auch nicht, dass – obwohl 84 % der Universitäten Schulungen zur Informationssicherheit für Mitarbeiter durchführen – nur 5 % diese für die Mitarbeiter verpflichtend machen. Studenten.

Universitäten müssen außerdem Risiken in einer potenziell großen und komplexen IT-Netzwerktopologie managen. Laut NCSC enthalten viele Universitätsnetzwerke „eine Ansammlung kleinerer, privater Netzwerke, die engmaschige Dienste für Fakultäten, Labore und andere Funktionen bereitstellen“. Dies kann die konsequente Durchsetzung von Sicherheitsrichtlinien schwieriger machen. Erschwerend kommt hinzu, dass es potenzielle Risiken an den verteilten Rändern gibt – darunter Heimarbeiter und Fernstudenten.

„Die akademische Forschung lebt von der Zusammenarbeit und dem offenen Informationsaustausch. Dies erfordert einen offenen Zugang zu Netzwerken und Ressourcen, was die Umsetzung übermäßig restriktiver Sicherheitsmaßnahmen erschwert. Die Balance zwischen Offenheit und robuster Sicherheit zu finden, ist ein ständiger Kampf“, sagt Chris Gilmour, CTO von Axians UK, gegenüber ISMS.online.

„Dies wird noch dadurch verschärft, dass Studenten und Mitarbeiter persönliche Geräte verwenden – Laptops, Smartphones. Hier müssen die Universitäten eine Balance zwischen BYOD und dem Zugriff auf wichtige Ressourcen finden und gleichzeitig insgesamt eine angemessene Sicherheitslage aufrechterhalten. Diese nicht verwalteten Geräte können, wenn sie nicht richtig gesichert sind, Schwachstellen aufweisen und als potenzielle Eintrittspunkte für Cyberangriffe dienen.“

Schließlich sind Hochschulanbieter einem „langfristigen, systemischen Druck auf ihre finanzielle Nachhaltigkeit und Rentabilität“ ausgesetzt, so ein Bericht des Public Accounts Committee aus dem Jahr 2022. berichten. Eine anhaltende Obergrenze für Studiengebühren und kurzfristigere Faktoren wie steigende Energie- und Kreditkosten sowie Inflation haben die Budgetplanung schwieriger gemacht. Dies kann sich negativ auf die Budgets für Cybersicherheit auswirken und gleichzeitig den Schaden durch Sicherheitsverletzungen vergrößern. Abgesehen von den direkten Kosten müssen die Universitäten auch die möglichen Auswirkungen einer schwerwiegenden Verletzung auf den Ruf in den Augen potenzieller Studenten berücksichtigen.

Die Bedrohung ist echt

Wenn Staaten durch große „altruistische“ Spenden an Hochschulen nicht das erreichen, was sie wollen, greifen sie auf traditionelle Cyber-Spionage zurück. Gleichzeitig zielen Cybercrime-Gruppen zunehmend auf die persönlichen Daten von Mitarbeitern und Studenten sowie auf exponierte Systeme ab, indem sie Ransomware einsetzen. Laut dem IT-Partner der Universität JischRansomware gilt als die größte Cyberbedrohung für den Sektor, gefolgt von Social Engineering/Phishing und ungepatchten Schwachstellen. Die gemeinnützige Organisation gibt an, dass 97 % der Hochschulanbieter Cyberrisiken mittlerweile in ihr Risikoregister aufnehmen und 87 % ihrer Geschäftsführung regelmäßig über Cyberrisiken berichten. Aber das lässt die Herausforderung nicht einfach verschwinden.

Tatsächlich ist es ausgeprägter denn je. Eine Regierung berichten Eine Studie vom April 2023 besagt, dass 85 % der Hochschulen in den vergangenen 12 Monaten Sicherheitsverletzungen oder Angriffe festgestellt haben, im Vergleich zu nur 32 % der Unternehmen.

Eine verheerende Einbruch an der Universität Manchester im Jahr 2023 führte zur Kompromittierung von über einer Million Patientenakten des NHS und ging auf einen Phishing-Angriff zurück. Tatsächlich sind Ransomware-Angriffe wie dieser ein häufiges Vorkommnis, und Angriffe werden zeitlich so geplant, dass sie mit der kritischen Clearing-Periode zusammenfallen – so viele sind – kann eine übergroße Wirkung haben.

Die Bedrohung durch staatliche Akteure ist subtiler, aber immer noch weit verbreitet. Im Februar 2021 wahrscheinlich staatlich unterstützte Hacker drangen in die Abteilung für Strukturbiologie der Universität Oxford, die zu dieser Zeit mit AstraZeneca an einem COVID-19-Impfstoff arbeitete. Bereits 2018 Angriff auf iranische Hacker Britische Universitäten stehlen vertrauliche Forschungsergebnisse.

Zurückschlagen

Glücklicherweise können laut Gilmour sogar Hochschulen mit knapper Kasse ihre Cyber-Resilienz mit einigen bewährten Best Practices verbessern.

„Die Priorisierung der Schulung der Mitarbeiter im Bereich Cybersicherheit befähigt alle, Bedrohungen zu erkennen und zu vermeiden“, argumentiert er. „Die Implementierung von Open-Source-Sicherheitstools und die Nutzung kostenloser staatlicher Ressourcen können einige Sicherheitslücken schließen. Und die Förderung einer Kultur der Datenminimierung und der Priorisierung kritischer Systeme ermöglicht es ihnen, mit weniger mehr zu erreichen.“

Tim Line, Leiter der Dienste bei Secure Schools, fügt hinzu, dass eine tiefgreifende Verteidigung der Schlüssel ist. Multi-Faktor-Authentifizierung, Notfallreaktionsplanung, robuste Backups, Endpunkterkennung (EDR), Firewalls und Verschlüsselung sollten alle Priorität haben, sagt er gegenüber ISMS.online. Die Einführung solcher Kontrollen und betrieblicher Best Practices wie zeitnahes Patchen, akzeptable Nutzung und sichere Konfiguration sollten in klaren Richtlinien dargelegt werden, „die Erwartungen umreißen und Regeln festlegen“, fügt Line hinzu.

„Stellen Sie sich jede Sicherheitskontrolle wie eine Scheibe Schweizer Käse vor“, erklärt er. „Eine Scheibe hat viele Löcher und ist leicht zu durchbrechen. Wenn Sie eine weitere Scheibe Sicherheitskontrolle hinzufügen, werden einige der Löcher in der ersten Scheibe geschlossen, und so weiter, bis das Risiko auf ein akzeptables Niveau reduziert ist.“

Sowohl Line als auch Gilmour weisen auch auf den Wert bewährter Sicherheitsstandards wie ISO 27001 und Angebote wie das NIST Cybersecurity Framework hin.

„ISO 27001 bietet einen strukturierten Ansatz für das Informationssicherheitsmanagement. Durch die Implementierung der entsprechenden Kontrollen können Universitäten Cybersicherheitsrisiken identifizieren und managen, eine Kultur des Sicherheitsbewusstseins entwickeln und klare Prozesse für die Reaktion auf Vorfälle etablieren“, sagt Gimour.

Auch grundlegendere Initiativen wie Cyber Essentials können zur Risikominderung beitragen, fügt Line hinzu.

„Sie werden das Risiko nie ganz auf null reduzieren – genauso wenig wie die Implementierung von Rauchmeldern, Brandschutztüren, Feueralarmen und Evakuierungsverfahren das Brandrisiko auf null reduziert“, schlussfolgert er. „Sie reduzieren jedoch das Risiko des Auftretens eines Brandes, seiner Ausbreitung und seiner erheblichen Auswirkungen auf Menschen und Betrieb erheblich.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster