Modernisierung des Schwachstellen-Managements in Hochschuleinrichtungen
Hochschulen und Universitäten sind stark im Visier von Cyberkriminellen, die versuchen, Schwachstellen auszunutzen und Mitarbeiter dazu zu bringen, Systeme mit Malware, Spyware und Ransomware zu infizieren. Um ihre sensiblen Daten zu schützen, müssen diese Einrichtungen Patches für Sicherheitslücken anwenden, die in der von ihnen verwendeten Software entdeckt werden.
IT-Teams haben jedoch oft Schwierigkeiten, mit dem Patchen Schritt zu halten, da Schwachstellen in rasantem Tempo entdeckt werden. Wenn Linux-Systeme vom Netz genommen werden, um einen Neustart durchzuführen, der für die Bereitstellung eines Patches erforderlich ist, bedeutet dies, dass Wartungsfenster angekündigt werden müssen, was zu Ausfallzeiten führt, die niemand in Kauf nehmen möchte.
Glücklicherweise gibt es Technologien, die IT-Teams oder SecOps-Teams an Hochschulen und Universitäten nutzen können, um ihre Linux-Patching-Zeiten zu beschleunigen und patchingbedingte Ausfallzeiten zu minimieren - unabhängig davon, welche Kombination von Linux-Distributionen sie verwenden.
Hacker haben es weiterhin auf Universitäten abgesehen
Globale und nationale Universitäten sind Ziel bösartiger Akteure, die von typischen Kriminellen bis hin zu staatlich geförderten Cyberangriffsgruppen reichen. Hochschuleinrichtungen speichern oft die persönlichen Daten ihrer Studenten und Dozenten sowie wertvolle Forschungsdaten, die gestohlen und auf dem Schwarzmarkt verkauft oder bei einem Ransomware-Angriff als Geiseln genommen werden können.
Obwohl sich die Hochschulen zunehmend dieser Cybergefahren bewusst sind, steht der Sektor vor wachsenden Herausforderungen in Bezug auf Budgets und internes Fachwissen im Bereich der Cybersicherheit.
Das US-Ministerium für Heimatschutz hat den Stand der Cybersicherheit nach Branchen bewertet und festgestellt, dass Hochschuleinrichtungen am unteren Ende der Skala liegen. Dieses Problem ist nicht nur auf die Vereinigten Staaten beschränkt. Laut einem von der britischen Regierung im Juli 2022 veröffentlichten Bericht waren erschreckende 92 % der Hochschuleinrichtungen in diesem Land im vergangenen Jahr Opfer eines Angriffs oder Eindringens.
Cyber-Bedrohungen von innen
Zu den Vermögenswerten der Hochschulen gehören Forschungsdaten und persönliche Informationen von Studierenden, Lehrkräften und Spendern. Während externe Hacker und Cyberkriminelle immer raffiniertere Angriffsmethoden entwickeln, um auf diese wertvollen Daten zuzugreifen und sie zu stehlen, sehen sich die Hochschulen auch mit einem besonders schwierigen Angriffsvektor konfrontiert: Insider-Bedrohungen.
Universitätsprogramme in den Bereichen Informatik, Physik und Ingenieurwesen sind ein zweischneidiges Schwert. Die Universität bildet Studenten zu Softwareingenieuren, Cybersicherheitsingenieuren und Netzwerkarchitekten aus, vermittelt ihnen aber gleichzeitig die Fähigkeiten, die sie brauchen, um später bessere Hacker zu werden.
Hacker verwenden Ransomware auch mit Hilfe eines Schülers innerhalb der Schule. Viele Schüler werden oft von externen Hackern durch E-Mail-Phishing-Angriffe erpresst.
Um der zunehmenden Besorgnis über Insider-Bedrohungen zu begegnen, haben viele Universitäten damit begonnen, Mikrosegmentierungsnetzwerke und Cloud-basierte Labore anstelle der traditionellen lokalen Lehrplattformen einzurichten. Durch die Isolierung der Lernsysteme von den Kernsystemen der Universität, einschließlich Finanz-, Forschungs- und Studentendaten, wird die Angriffsfläche für studentische Hacker verringert. Diese Abschreckung hat jedoch wenig Aussicht, die Angriffsversuche von Studenten und verärgerten Fakultätsmitgliedern zu reduzieren.
Sicherheitsverletzungen im Hochschulbereich
Viele Universitäten und Forschungseinrichtungen speichern vertrauliche, nicht-öffentliche Informationen, von Industriegeheimnissen über neue Produkte bis hin zu geheimen militärischen Studien. Cyberkriminelle haben es aus verschiedenen Gründen auf diese Informationen abgesehen.
Beispiel 1: Die Universität Zagreb sah sich mit einer erheblichen Bedrohung konfrontiert. Wie andere Bildungseinrichtungen versuchten Cyberkriminelle, auf vertrauliche militärische Forschungsdaten zuzugreifen, und griffen ständig die Netzwerke in den Rechenzentren der Universität an.
Beispiel 2: Die Suffolk University meldete den Generalstaatsanwaltschaften verschiedener Bundesstaaten eine Datenschutzverletzung, als sie herausfand, dass ein unbefugter Benutzer auf Studentendaten zugegriffen und diese extrahiert hatte, darunter Pässe, Führerscheine und Finanzdaten.
Beispiel 3: Das Sierra College informierte den Generalstaatsanwalt von Montana über eine Datenverletzung, die durch einen Ransomware-Angriff auf die Schule verursacht wurde. Diese Verletzung ermöglichte den Hackern den Zugriff auf personenbezogene Daten, einschließlich Namen, Adressen und medizinische Daten bestimmter Studenten und Mitarbeiter.
Beispiel 4: Im Jahr 2022, Knox College von einem Ransomware-Angriff betroffen, der auf die Finanzsysteme der Universität abzielte. Dieser Vorfall ist der erste bekannte Fall in den USA, bei dem Hacker ihren Zugang dazu nutzten, Studenten direkt zu kontaktieren, um sie einzuschüchtern und zu erpressen.
Neben Forschungsdaten und sensiblen persönlichen Daten von Studierenden und Mitarbeitern verfügen Bildungseinrichtungen auch über sensible Spenderdaten von privaten Spendern, globalen Unternehmen und staatlichen Stellen. Cyberkriminelle versuchen ständig, diese sensiblen Daten zu stehlen, indem sie bekannte und unbekannte Schwachstellen ausnutzen - und eine Verletzung dieser Informationen könnte sich auf künftige Einschreibungen und Finanzierungsmöglichkeiten auswirken.
Der Schutz von Forschungsdaten ist entscheidend für die Vergabe von Fördermitteln an Universitäten
Eine wichtige Finanzierungsquelle für die Hochschulbildung in den USA sind Forschungszuschüsse. Viele Institutionen, Unternehmen und Regierungsbehörden bieten Universitäten an, den Bau neuer Labors und wissenschaftlicher Zentren zu finanzieren, um Professoren und Studenten praktische Erfahrungen zu ermöglichen. Die Universität erlangt internationale Anerkennung und zieht durch die Zuschüsse erstklassige Studenten an.
Die durch Forschungsstipendien geschaffenen Daten werden zum gemeinsamen geistigen Eigentum der Universität und des Geldgebers. Dieses geistige Eigentum kann der Universität in Zukunft einen finanziellen Vorteil verschaffen.
Angriffe auf die Cybersicherheit können sich erheblich auf aktuelle und künftige Zuschüsse auswirken, wenn die Universität Datenverletzungen oder Verstöße gegen den Datenschutz erleidet. Institutionen und Regierungsbehörden verlangen oft, dass Universitäten Datenschutzregelungen einhalten, bevor sie Fördermittel erhalten. Viele Fördermittelgeber verlangen von den Universitäten in regelmäßigen Abständen eine Risikobewertung der Cybersicherheit durch einen Dritten und Penetrationstests, um alle erforderlichen Sicherheitsmaßnahmen zu validieren.
Welche Auflagen müssen die Hochschulen erfüllen?
In Hochschulsystemen werden verschiedene Arten von Informationen gesammelt und gespeichert, darunter auch Finanz- und Forschungsdaten. Alle gespeicherten Daten fallen unter ein Compliance- oder Datenschutzmandat, das die Universität zur Einhaltung strenger Sicherheitsvorschriften verpflichtet.
- Viele Universitäten verarbeiten Zahlungskartentransaktionen und speichern Zahlungskartendaten von Studenten.
- Hochschuleinrichtungen führen Forschungsarbeiten für öffentliche und private Unternehmen durch, die einen umfassenden Datenschutz und eine restriktive Zugangskontrolle erfordern.
Im Folgenden sind zwei Vorschriften aufgeführt, die die Universitäten wahrscheinlich einhalten müssen:
Payment Card Industry Data Security Standard (PCI DSS)
Überall im Universitäts- und Hochschulsystem werden Zahlungskarten akzeptiert, sei es für die Zahlung von Studiengebühren, den Kauf von Artikeln im Buchladen der Schule oder den Kauf von Speisen und Getränken im Café auf dem Campus. Hochschulen, die Zahlungskarten akzeptieren, müssen die PCI DSS-Vorschriften einhalten. Hacker und Cyberkriminelle haben es auf Zahlungssysteme von Universitäten abgesehen, insbesondere auf solche, die an Drittanbieter ausgelagert sind. Durch Angriffe auf diese Anbieter können Hacker mit einem einzigen Angriff mehrere Universitäten in Mitleidenschaft ziehen.
Im Jahr 2021drangen Hacker in das Kreditkartensystem des Studentenbuchladens der Boston University ein. Die Boston University und andere Hochschuleinrichtungen waren betroffen, da der Drittanbieter für die Kreditkartenverarbeitung angegriffen wurde.
Patching eine Notwendigkeit zur PCI-Konformität
PCI DSS-Anforderung 6.2 beinhaltet den Schutz aller Systemkomponenten und Software vor bekannten Schwachstellen durch die Installation der entsprechenden Sicherheitspatches des Herstellers. Er muss alle Patches innerhalb von 30 Tagen nach der Veröffentlichung eines CVE auf einem Host-System für die Zahlungskartenverarbeitung implementieren.
Unternehmen verlassen sich oft darauf, nur kritische CVEs zu patchen, um die Ausfallzeiten ihrer Zahlungsverarbeitungsplattformen zu reduzieren. Unabhängig von der internen Risikoklassifizierung werden die PCI-Auditoren das Unternehmen jedoch unabhängig von der Risikostufe zur Einhaltung von PCI 6.2 verpflichten.
Um die Einhaltung der PCI DSS-Patching-Anforderungen zu erleichtern, können Hochschulen und Universitäten ihre Patching-Lebenszyklen automatisieren und patchingbedingte Ausfallzeiten vollständig vermeiden, indem sie eine Live-Patching-Lösung implementieren. Live-Patching stellt CVE-Patches bereit, während Linux-Systeme laufen, so dass Organisationen nicht neu starten müssen. Diese Patches können automatisiert werden, so dass IT-Teams den Zeitaufwand für das Patchen minimieren können.
Mit einem Live-Patching-Ansatz kann das Patchen von Schwachstellen eine weitere Komponente der PCI-Compliance sein, die auf Autopilot geschaltet wird, so dass die Universitätsmitarbeiter mehr Zeit für andere wichtige Aufgaben haben.
NIST 800-171
Universitäten und Hochschuleinrichtungen, die als Forschungseinrichtungen bezeichnet werden und staatliche Zuschüsse erhalten, müssen die NIST 800-171 einhalten.
NIST 800-171 gilt für Controlled Unclassified Information (CUI), die von der Bundesregierung an eine nicht-staatliche Einrichtung weitergegeben werden. Im Hochschulbereich gibt die Bundesregierung häufig Daten für Forschungszwecke oder zur Durchführung der Arbeit von Bundesbehörden an Einrichtungen weiter.
Unter NIST 800 beschreibt der Abschnitt "Maintenance" (MA) bestimmte Phasen, in denen Unternehmen einen empfohlenen Arbeitsablauf für das Patchen von Systemen einhalten müssen:
MA 3.7.1
Alle Systeme, Geräte und Anwendungen, die von einer Organisation verwendet werden, müssen gemäß den Software-Patch-Empfehlungen des Herstellers oder den von der Organisation festgelegten Zeitplänen für die Aktualisierung der Systeme gewartet werden.
MA-6: Rechtzeitige Wartung
Unternehmen identifizieren Systemkomponenten, die bei fehlerhaftem Betrieb ein Risiko für den Betrieb und die Anlagen, für Einzelpersonen, andere Organisationen und das Land darstellen können. Um dies zu beheben, sollten sie über Patching- und Behebungsfunktionen verfügen, um alle Systeme unabhängig vom Standort zu aktualisieren.
MA-7 Instandhaltung (dezentrale IT)
Sobald ein System oder eine Komponente im Einsatz ist, sollte die Organisation alle Software- und Hardware-Wartungsarbeiten durchführen, um sicherzustellen, dass sie den Hersteller- und Branchenstandards entspricht. Universitäten sollten beim Patchen von Systemen besondere Sorgfalt walten lassen, selbst in einer dezentralen Umgebung. Viele kleinere Universitätsabteilungen erstellen ihre Datenbanken, Cloud-Instanzen und Identitätssysteme und setzen dabei das universitätsweite Netzwerk einem größeren Risiko aus.
Vereinfachung des Patchings von Sicherheitslücken für NIST 800-171
Das Patchen kritischer Systeme, auf denen Forschungsdaten im Rechenzentrum oder in der Cloud der Universität gehostet werden, ist entscheidend für die Einhaltung von NIST 800-171. Universitäten, die mit dem Patchen von Forschungssystemen in der Produktion beschäftigt sind und gleichzeitig mit längeren Serviceunterbrechungen rechnen müssen, können auch einen Live-Patching-Ansatz verfolgen, um die einzuplanenden Ausfallzeiten zu reduzieren und patchingbedingte Neustarts zu vermeiden. Durch den Einsatz von Live-Patching wird auch das Risiko minimiert, dass die Einrichtung durch einen möglichen Zero-Day-Angriff ausgenutzt wird.
Warum Tuxcare?
Cyberangriffe und Datenverluste sind eine allgegenwärtige Bedrohung für den Bildungssektor, der oft als einer der am stärksten von Cyberkriminalität betroffenen Wirtschaftszweige eingestuft wird. Angesichts der riesigen Mengen an sensiblen Forschungsdaten ist es von entscheidender Bedeutung, dass Hochschulen und Universitäten Schwachstellen, die ihre Werte gefährden, schnell beheben.
TuxCare's Die automatisierten Live-Patching-Lösungen von TuxCare schützen Linux-Systeme durch die schnelle Beseitigung von Schwachstellen, ohne dass Unternehmen auf Wartungsfenster oder Ausfallzeiten warten müssen.
Mit TuxCare können SecOps, DevSecOps und allgemeine IT-Teams an Hochschulen und Universitäten die Einspielung neuer Patches durch Staging, Testen und Produktion auf allen gängigen Linux-Distributionen automatisieren und dabei patchingbedingte Ausfallzeiten und Neustarts vermeiden.
TuxCare bietet auch Live-Patching für gemeinsam genutzte Bibliotheken, Datenbanken, virtuelle Maschinenumgebungen und IoT-Geräte. Außerdem kann das Live-Patching von TuxCare alle gängigen Linux-Distributionen für Unternehmen abdecken, im Gegensatz zu vielen Live-Patching-Alternativen, die nur für eine einzige Distribution funktionieren.
Planen Sie ein Gespräch mit einem unserer Experten, um eine persönliche Erklärung zu erhalten, wie die Live-Patching-Automatisierung von TuxCare funktioniert.