Drittanbieter werden für Schulen und Hochschulen zum Sicherheitsrisiko

Zusammenfassung

Bildungseinrichtungen gehören seit Langem zu den bevorzugten Zielen von Cyberkriminellen. Veraltete Technik, neue Anwendungen, knappe IT-Ressourcen und große Mengen sensibler Daten machen Schulen und Hochschulen anfällig. Besonders problematisch sind dabei Vorfälle bei Drittanbietern: Wird eine einzelne Plattform kompromittiert, kann das zahlreiche Einrichtungen zugleich treffen. Laut dem „2026 Data Breach Investigations Report“ von Verizon Business gab es im vergangenen Jahr 1.252 Datenschutzverletzungen im Bildungssektor. Mehr als die Hälfte davon stand im Zusammenhang mit Malware, und 65 Prozent dieser Angriffe betrafen Ransomware. Der Bericht sieht Webanwendungen als wichtigsten Angriffsvektor; sie waren für 71 Prozent der Vorfälle in diesem Bereich verantwortlich. Experten wie Erich Kron, CISO Advisor bei KnowBe4, und Adam Marrè, CISO bei Arctic Wolf, beschreiben damit ein Grundproblem des Sektors: Die Hauptlast eines Sicherheitsvorfalls tragen oft die betroffenen Bildungseinrichtungen, auch wenn die eigentliche Ursache bei einem Dienstleister oder Softwareanbieter liegt.

Der Bildungssektor kämpft nach Einschätzung von Experten mit einer strukturellen Schwäche: IT-Teams in Schulen und Hochschulen konzentrieren sich vor allem darauf, Schüler, Studierende und Beschäftigte arbeitsfähig zu halten, während für den Schutz der zugrunde liegenden Systeme oft nur begrenzte Mittel zur Verfügung stehen. Hinzu kommen knappe Sicherheitsbudgets und chronischer Personalmangel. Gleichzeitig verwalten die Einrichtungen große Mengen betrieblicher und personenbezogener Daten, die sich für Erpressung oder den Weiterverkauf für künftige Cyberdelikte eignen.

Wie groß die Angriffsfläche ist, zeigt der „2026 Data Breach Investigations Report“ von Verizon Business. Demnach wurden im vergangenen Jahr 1.252 Datenschutzverletzungen im Bildungsbereich registriert. Mehr als die Hälfte dieser Fälle umfasste Malware, und 65 Prozent dieser Angriffe hatten mit Ransomware zu tun. Als zentralen Einfallsweg nennt der Bericht Webanwendungen, die für 71 Prozent der Sicherheitsverletzungen im Bildungssektor verantwortlich waren.

Ein wesentlicher Risikofaktor sind laut Bericht und Experten Kompromittierungen bei Drittanbietern. Wenn eine weithin eingesetzte Anwendung angegriffen wird, kann das jede Institution treffen, die auf sie setzt. Erich Kron von KnowBe4 sagte gegenüber Dark Reading, Hochschulen und Schulen versuchten unter schwierigen Bedingungen vor allem, den Betrieb aufrechtzuerhalten. In vielen Fällen werde jedoch ausgerechnet die Organisation am stärksten von den Folgen eines Vorfalls getroffen, die den eigentlichen Fehler nicht verursacht habe.

Wie weitreichend solche Vorfälle sein können, zeigte laut Bericht ein Angriff im Spätsommer 2025: Mehr als 100 Organisationen wurden kompromittiert, nachdem eine Ransomware-Gruppe eine Zero-Day-Schwachstelle in Oracle E-Business Suite ausgenutzt hatte. Die Autoren des Berichts vermerkten, dass sich unter den Opfern „eine starke Konzentration“ von Bildungseinrichtungen befand.

Ein weiteres Beispiel ist Canvas von Instructure. Im Mai zwangen zwei Cyberangriffe das Unternehmen dazu, sein Lernmanagementsystem vorübergehend offline zu nehmen. Das verursachte laut Quelle erhebliche Störungen für Tausende High Schools und Universitäten, von denen sich viele gerade in Abschlussprüfungen und am Ende des Schuljahrs befanden. Die Gruppe, die die Verantwortung beanspruchte, traf mit Instructure eine Vereinbarung und sagte zu, einzelne Schulen in diesem Zusammenhang nicht weiter zu erpressen. Nach Angaben von Instructure hat Canvas weltweit mehr als 30 Millionen aktive Nutzer und mehr als 8.000 Institutionen als Kunden.

Instructure-CEO Steve Daly erklärte damals, Angriffe dieser Art zeigten, dass Plattformen wie Canvas kritische Infrastruktur seien und auch entsprechend geschützt werden müssten. Bereits 2023 hatte zudem die Ausnutzung einer Schwachstelle in der Managed-File-Transfer-Anwendung MOVEit zu einem massiven Vorfall mit mehr als 2.700 betroffenen Organisationen geführt. Zu den betroffenen Stellen gehörte das National Student Clearinghouse, was Auswirkungen auf 900 Universitäten sowie auf das öffentliche Schulsystem von New York City und das Bildungsministerium von Minnesota hatte.

Adam Marrè von Arctic Wolf sieht gerade in breit genutzten SaaS-Plattformen wie Canvas ein attraktives Ziel: Ein erfolgreicher Angriff könne Tausende Einrichtungen gleichzeitig treffen und den Druck bei Lösegeldforderungen erheblich erhöhen. Im Fall von Canvas hält er den Zeitpunkt am Ende des Schuljahrs nicht für zufällig, weil Angreifer dann den größten Hebel gegenüber den betroffenen Institutionen hätten.

Als Gegenmaßnahmen nennt Marrè vor allem ein belastbares Management von Drittanbieter-Risiken. Anbieter sollten vertraglich unter anderem zu Benachrichtigungen bei Sicherheitsverletzungen, Audit-Rechten, Nachweisen zur Mandantentrennung und zu ausgereiften Reaktionsprozessen bei Vorfällen verpflichtet werden. Außerdem sollten Bildungseinrichtungen die Identitätsebene selbst kontrollieren, etwa mit einem starken Single Sign-on und Multi-Faktor-Authentifizierung. So lasse sich der Zugriff auf die eigenen Systeme besser absichern, selbst wenn ein Drittanbieter kompromittiert wird. Hinzu kommen Schwachstellenmanagement, Patch-Prozesse sowie die Fähigkeit, Angriffe auf die eigenen Systeme zu erkennen und darauf zu reagieren.

Marrè zufolge könnte Künstliche Intelligenz die Kosten für Erkennungs- und Reaktionswerkzeuge senken und solche Funktionen damit auch Einrichtungen zugänglich machen, die sie bisher nicht finanzieren konnten. Kron und Marrè betonen darüber hinaus den Bedarf an mehr staatlicher Finanzierung für Cybersicherheit im Bildungssektor. Kron verwies außerdem auf fehlende einheitliche Vorgaben und forderte Standards für das Bildungssystem, die auch finanziell hinterlegt sind.

Drittanbieter werden für Schulen und Hochschulen zum Sicherheitsrisiko

Ähnliche Artikel

Neueste Artikel