Das CLTC versteht sich als Forschungs- und Kooperationszentrum mit mehreren Initiativen. „Wir befinden uns in einer Situation, in der es viele kostenlose Werkzeuge gibt, aber kaum jemand kostenlose Dienstleistungen anbietet", sagt Powazek. Auf der Forschungsseite betreibt das Zentrum das Programm Cybersecurity for Cities and Nonprofits (CyberCAN), das gemeinsam mit Städten, Bezirken und Bundesstaaten Nonprofits in deren Regionen zu ihren Sicherheitsstrategien und ihrem Bedarf befragt.

Praxisnäher ist der Aufbau von Bündnissen, zu dem auch Cybersicherheitskliniken gehören. Diese funktionieren zugleich als Ausbildungs- und Verteidigungsprogramm: Studierende, darunter Bachelor-Studenten, lernen, grundlegende Schwachstellen- und Risikoanalysen für lokale Organisationen durchzuführen. Nonprofits, Schulen, Städte und kleine Unternehmen erhalten dabei eine vergleichbare Hilfe wie von einem professionellen Dienstleister — allerdings kostenlos. „Ich habe früher für CrowdStrike gearbeitet, und solche Aufträge sind sehr teuer und für kleinere Organisationen praktisch unerreichbar", sagt Powazek. „Dabei brauchen genau sie die praktische Unterstützung und Schulung am dringendsten."

Schulen, Kommunen und Nonprofits sehen sich Angriffen aller Art ausgesetzt, Ransomware ist dabei nur eine von vielen Bedrohungen. Laut Powazek genügt eine gefälschte Rechnung, um knapp kalkulierende Nonprofits zur Überweisung größerer Summen zu bewegen. Ein Verlust von 10.000 bis 20.000 US-Dollar durch einen solchen Betrug könne ausreichen, um eine solche Organisation in den Ruin zu treiben. „Das Risiko ist für diese Nonprofits höher, obwohl die Bedrohungsarten denen großer Unternehmen ähneln", sagt sie. „Vielleicht nicht so viele Angriffe staatlicher Akteure, aber kommerzielle Angriffe treffen sie hart genug."

Während Ransomware für K-12-Schulen ein großer Störfaktor ist, beobachtet das CLTC auch eine wachsende Zahl von Lieferkettenangriffen auf Anbieter aus diesem Bereich. Kurz nachdem Angreifer Schwachstellen in der verbreiteten Dateitransfer-Anwendung MOVEit ausgenutzt hatten, brachte das Zentrum eine Gruppe von Bildungstechnologie-Anbietern (Edtech) zusammen, um über weitere Sicherheitsschritte zu beraten. Die Angriffe führten zu einer der größten Datenpannen mit Auswirkungen auf K-12-Schulen und legten persönliche sowie gesundheitsbezogene Daten von Schülern offen.

„Die Bildungstechnologie-Branche hinkt bei der Cybersicherheit hinterher", sagt Powazek. „Sie hat kaum Bug-Bounty- oder Schwachstellen-Offenlegungsprogramme." Jede Schule nutze Microsoft und Google, und weniger als zehn Anbieter machten 80 Prozent des Edtech-Marktes aus. Genügend Druck auf diese Anbieter, sichere Standardeinstellungen umzusetzen und Multifaktor-Authentifizierung standardmäßig zu aktivieren, könne „eine Kettenwirkung auf den gesamten K-12-Bereich haben".

Powazek hob zudem eine bundesstaatlich organisierte Freiwilligen-Initiative des CLTC hervor: Cyber-Reserveteams sollen staatliche Freiwillige etwa zur Wiederherstellung nach einem Ransomware-Vorfall in einer Stadt entsenden. Sie beobachte, dass Bundesstaaten und Kommunen eigene Strukturen aufbauen, um solche Vorfälle künftig selbst zu bewältigen — im Wissen, dass sich die Bundesebene noch weiter zurückziehen werde. Sicherheit auf kommunaler Ebene sei letztlich nationale Sicherheit, betont Powazek, gerade mit Blick auf Einrichtungen wie Obdachlosenhilfen, Rechtsberatungen und Tafeln, die kaum über eigenes IT-Personal verfügten, für ihre Gemeinden aber unverzichtbar seien.