52 % der Grundschulen im Vereinigten Königreich mussten im Jahr 2023 eine Verletzung der Cybersicherheit oder einen Angriff feststellen, und bei den weiterführenden Schulen lag diese Zahl mit 71 % sogar noch höher. Tatsächlich ist die Wahrscheinlichkeit, dass alle Bildungseinrichtungen im Vereinigten Königreich im letzten Jahr von einer Sicherheitsverletzung oder einem Angriff betroffen waren, höher als bei einem durchschnittlichen britischen Unternehmen [1].
Mit der zunehmenden Verbreitung von Technologie in den Klassenzimmern sind Schulen heute anfälliger für diese Bedrohungen als je zuvor. Es ist daher von entscheidender Bedeutung, dass sich Schulen und Lehrer nicht nur der Risiken bewusst sind, sondern auch über wirksame proaktive und reaktive Maßnahmen verfügen.
Eine Studie der britischen Regierung hat gezeigt, dass Grund- und Sekundarschulen in den letzten 12 Monaten offenbar weniger über die staatlichen Richtlinien zur Cybersicherheit informiert waren. Tools wie die 10 Schritte zur Cybersicherheit [2] und das Board Toolkit [3] des National Cyber Security Centre (NSC) sowie Zertifizierungsprogramme wie Cyber Essentials [4] gibt es zwar schon länger, aber angesichts des geringen Bekanntheitsgrads hat die Regierung nun entschiedenere Maßnahmen ergriffen, die die Hersteller stärker in die Pflicht nehmen, für Cybersicherheit zu sorgen, und nicht nur die Schulen.
Das Gesetz über die Produktsicherheit und die technologische Infrastruktur
Am 29. April 2024 hat die britische Regierung den Product Security and Technology Infrastructure (PSTI) Act in Kraft gesetzt. [5] Die Einführung dieses Gesetzes bedeutet, dass alle anschlussfähigen Verbraucherprodukte ein bestimmtes Sicherheitsniveau erfüllen müssen, bevor sie im Vereinigten Königreich verkauft werden dürfen.
Wie der Name schon sagt, konzentriert sich der erste Teil des Gesetzes auf die Produktsicherheit, und diese neuen Vorschriften geben der Regierung die Befugnis, bestimmte Mindestsicherheitsanforderungen einzuführen. Dazu gehören auch interaktive Bildschirme, die im Bildungswesen eingesetzt werden.
Bisher verfügte nur jeder fünfte Hersteller von Produkten, die mit dem Internet oder einem Netzwerk verbunden werden können (z. B. intelligente Lautsprecher), über eine eingebaute Basissicherheit. Im Jahr 2020 gab es weltweit schätzungsweise 12,9 Millionen solcher Geräte [6], und die meisten von ihnen verfügten nicht über mehr als diese grundlegenden Funktionen. Dies bedeutete, dass Millionen von Geräten und Kunden anfällig für Sicherheitsverletzungen oder Angriffe waren.
Was bedeutet das für die Schulen?
Schulen haben vielleicht nicht in jedem Klassenzimmer intelligente Lautsprecher, aber viele haben interaktive Whiteboards mit Internetanschluss. Dies bedeutet, dass Zehntausende von Klassenzimmern im Vereinigten Königreich durch diese Schwachstellen gefährdet sind.
Laut einer kürzlich durchgeführten Regierungsumfrage [7] sind Phishing-Angriffe der wahrscheinlichste Vorfall, den Schulen erlebt haben. 92 % der weiterführenden Schulen und 84 % der Grundschulen berichteten von Angriffen in den letzten 12 Monaten. Dicht gefolgt von anderen, die sich per E-Mail oder online als die Schule ausgeben, sowie Viren, Spyware oder Malware.
Nicola Pearce, Leiterin des Bereichs Bildung bei BenQ, kommentierte: „Schulen werden zunehmend Ziel von Cybervorfällen und -bedrohungen, einschließlich Phishing-Angriffen, Passwortverletzungen und Ransomware-Angriffen. Im Jahr 2023 wurden 347 Cyberangriffe im Bildungs- und Kinderbetreuungssektor registriert, die auf den unbefugten Zugriff auf Schultechnologie und -systeme zurückzuführen sind und nicht nur persönliche und private Daten in Gefahr bringen, sondern auch den Unterricht stören.
„Bei der Einführung von Technologie in Schulen müssen Lehrkräfte und Pädagogen die potenziellen Risiken und Folgen der Technologie sorgfältig abwägen und prüfen, ob das von ihnen gewählte Tool die am besten geeignete Option ist. Sie sollten auch proaktive Maßnahmen ergreifen und ein Bewusstsein für den Umgang mit dem Internet bei Schülern und Lehrern fördern, um ein sicheres Lernumfeld zu gewährleisten.“
Wie können Sie Ihre Schule schützen?
Die Einführung des PSTI-Gesetzes sollte bedeuten, dass Schulen naturgemäß weniger Cybersicherheitsrisiken ausgesetzt sind, da die Hersteller viele Sicherheitsfunktionen standardmäßig einbauen müssen. Cybersicherheit muss jedoch eine kollektive Anstrengung sein, und es gibt immer noch viele Vorsichtsmaßnahmen und Lösungen, die Schulen kennen sollten, um ihre Verteidigung noch weiter zu stärken.
Viele Vorfälle im Bereich der Cybersicherheit sind darauf zurückzuführen, dass ein Außenstehender versucht, sich Zugang zu vertraulichen Informationen oder Ihren IT-Systemen zu verschaffen. Durch Maßnahmen wie ein sicheres Account Management System (AMS) und Identitäts- und Zugriffsmanagement-Software (IAM) können Sie Benutzerkonten und Berechtigungen erstellen und verwalten.
Indem Sie jeder Person ein eigenes, personalisiertes Benutzerprofil zuweisen, können Sie das Risiko verringern, dass Unbefugte auf Einstellungen, Benutzerdateien und Ordner zugreifen. Dadurch wird auch das Risiko verringert, dass vertrauliche Informationen wie E-Mails oder Schülerdaten im Klassenzimmer offengelegt werden, da nur die für die jeweilige Unterrichtsstunde relevanten Ressourcen angezeigt werden. Darüber hinaus haben die Lehrkräfte den Vorteil, dass sie ihren Arbeitsbereich so einrichten können, dass sie möglichst effektiv unterrichten können.
Maßnahmen für einen sicheren Zugang
Es sollten auch Schutzmaßnahmen für die Anmeldung eingeführt werden, z. B. MFA (Multi-Faktor-Authentifizierung), SSO (Single Sign On) und NFC-Kartenzugang. Da sich Lehrer oft vor einem Klassenzimmer voller Kinder an Tafeln anmelden, kann es für Schüler leicht sein, die Anmeldedaten zu sehen, die für den Zugriff auf Systeme verwendet werden. Die Gewährung des Zugangs über eine NFC-Karte beseitigt dieses Risiko, und der Administrator kann diese Karte widerrufen, was bedeutet, dass die Gefahr geringer ist, dass jemand anderes sie für den Zugang verwendet, selbst wenn eine Karte gestohlen wird oder verloren geht. Andere Sicherheitsmethoden wie MFA und SSO bieten zusätzliche Schutzstufen. Mit der IAM-Software von BenQ können IT-Fachleute bestehende NFC-Systeme, wie z. B. Türöffner, in das BenQ AMS (Account Management System) integrieren, um eine sichere Komplettlösung zu erhalten.
Natürlich ist dieser Schutz rund um das Einloggen ein guter Anfang, aber was passiert, wenn ein eingeloggtes Board unbeaufsichtigt gelassen wird? Es kann leicht passieren, dass Lehrkräfte am Ende einer Unterrichtsstunde abgelenkt werden oder auf halbem Weg schnell ein anderes Klassenzimmer besuchen müssen. In diesem Fall ist die Aktivierung einer automatischen Inaktivitätsverfolgung, die Benutzer nach einer bestimmten Zeit abmeldet, eine zusätzliche Sicherheitsstufe.
Unterstützung des IT-Teams
Die Abmeldung von Leerlaufsitzungen ist nur eine der Funktionen, die IT-Teams mithilfe der BenQ-Cloud-Software, AMS und DMS aktivieren können. Interaktive Bildschirme sind für Lehrer und Schüler gleichermaßen eine große Bereicherung, aber eine Zunahme der Technologie bedeutet auch eine Zunahme der Arbeitsbelastung für das IT-Team, daher ist die Fernverwaltung der Schlüssel.
Die Cloud-Services von BenQ ermöglichen den IT-Mitarbeitern die Fernüberwachung und -verwaltung aller Tafeln in der Schule oder, im Falle von Multi-Academy Trusts (MATs), in mehreren Schulinfrastrukturen. Dies bedeutet, dass sie nicht nur Dinge wie den Stromverbrauch der Boards überwachen können, sondern auch Firmware-Updates und Sicherheits-Patches verteilen können, ohne zu jedem Board reisen zu müssen.
Für einen zusätzlichen Schutz kann auch Sicherheitssoftware installiert werden, und die Netzwerkeinstellungen können so konfiguriert werden, dass sie noch sicherer werden. EDLA-zertifizierte interaktive Bildschirme bieten zusätzlichen Schutz gegen gängige Cybersicherheitsbedrohungen, da der Zugriff auf den integrierten Google Play Store eingeschränkt werden kann. [8]
Es ist auch eine gute Idee, der Einführung des PSTI-Gesetzes zuvorzukommen, indem man sich für ein Board entscheidet, das sowohl EDLA- als auch PSTI-zertifiziert ist. Hier erfahren Sie mehr über die Cloud-Services von BenQ und wie Sie mit einem Experten sprechen können.
Referenzen
1. "Cyber security breaches survey 2024: education institutions annex", Department for Science, Innovation & Technology, Home Office, UK Government, https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2024/cyber-security-breaches-survey-2024-education-institutions-annex, last accessed 10th July 2024
2. "10 Steps to Cyber Security", National Cyber Security Centre, https://www.ncsc.gov.uk/collection/10-steps?trk=public_post_main-feed-card_reshare_feed-article-content, last accessed 10th July 2024
3. "Cyber Security Toolkit For Boards", National Cyber Security Centre, https://www.ncsc.gov.uk/collection/board-toolkit, last accessed 10th July 2024
4. "Cyber Essentials", National Cyber Security Centre, https://www.ncsc.gov.uk/cyberessentials/overview, last accessed 10th July 2024
5. "The UK Product Security and Telecommunications Infrastructure (Product Security) regime", Department for Science, Innovation & Technology, Viscount Camrose, UK Government, https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime, last accessed 10th July 2024
6. "Product Security And Telecommunications Infrastructure 2022", UK Government, https://www.legislation.gov.uk/ukpga/2022/46/notes/division/3/index.htm#:~:text=Examples%20of%20these%20products%20include,billion%20consumer%20connectable%20products%20worldwide., last accessed 10th July 2024
7. "Cyber security breaches survey 2024: education institutions annex", Department for Science, Innovation & Technology, Home Office, UK Government, https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2024/cyber-security-breaches-survey-2024-education-institutions-annex, last accessed 10th July 2024