Bildungseinrichtungen: Attraktive Ziele mit offenen Netzen

Schweizer Schulen, Hochschulen und Universitäten geraten zunehmend ins Visier von Cyberkriminellen. Die Gründe sind vielfältig: Bildungseinrichtungen speichern grosse Mengen sensibler Daten (Schüler- und Studierendendaten, Forschungsdaten, Personalakten), betreiben historisch offene Netzwerke mit Tausenden von Nutzenden, haben oft begrenzte IT-Sicherheitsbudgets und sind rund um die Uhr mit dem Internet verbunden.

Laut dem Schweizer Bundesamt für Cybersicherheit (BACS) hat sich die Zahl der gemeldeten Cyberangriffe auf Bildungseinrichtungen zwischen 2022 und 2024 mehr als verdoppelt. Besonders betroffen sind Universitäten und Fachhochschulen, die Zugang zu wertvollen Forschungsdaten haben. Aber auch Volksschulen und Berufsschulen sind keine sicheren Häfen mehr: Ransomware-Gruppen greifen zunehmend auch kleinere Bildungseinrichtungen an, weil dort die Zahlungsbereitschaft hoch und die Sicherheitsmassnahmen oft gering sind.

Für alle Bildungseinrichtungen in der Schweiz gilt das nDSG uneingeschränkt. Die Verarbeitung von Daten Minderjähriger unterliegt dabei besonders hohen Anforderungen.

Die spezifische Bedrohungslage im Bildungssektor

1. Forschungsdaten als hochkarätiges Angriffsziel

Schweizer Universitäten und ETH-Institutionen gehören zur Weltspitze in Forschung und Innovation. Genau das macht sie zu attraktiven Zielen für staatlich gesponserte Angreifer, die auf Technologiediebstahl und Wirtschaftsspionage ausgerichtet sind.

Besonders im Visier stehen:

  • Pharmakologische Forschung: Forschungsresultate aus klinischen Studien haben enormen kommerziellen Wert
  • Technologieentwicklung: Ergebnisse aus Ingenieurwesen, Materialwissenschaften und Informatik
  • Dual-Use-Forschung: Erkenntnisse mit militärischer Relevanz
  • Grundlagenforschung: Unveröffentlichte Ergebnisse, die kommerzielle Vorteile verschaffen können

Der Diebstahl von Forschungsdaten erfolgt oft ohne sofort sichtbaren Schaden – die Betroffenen merken manchmal jahrelang nicht, dass ihre Daten abgegriffen wurden. Diese “stille Exfiltration” ist besonders gefährlich, weil sie schwer zu erkennen und kaum rückgängig zu machen ist.

Ein besonders heimtückisches Angriffsmuster: Staatlich finanzierte Gruppen (bekannte Akteure aus China, Russland und Nordkorea) kompromittieren Forschernetzwerke über gefälschte Kooperationsanfragen, manipulierte wissenschaftliche Dokumente oder kompromittierte Konferenz-Plattformen.

Massnahmen: Datensegmentierung nach Klassifizierungsstufe, starke Authentifizierung für Forschungsdatenbanken, Data-Loss-Prevention-Tools, Sensibilisierung von Forschenden zu Social-Engineering-Risiken.

2. Offene Netzwerke: Design als Sicherheitsproblem

Der Bildungssektor hat eine lange Tradition offener Netzwerke. Akademische Freiheit, Austausch und Kollaboration sind Grundwerte, die sich in der Netzwerkarchitektur vieler Hochschulen widerspiegeln: minimale Zugriffsbeschränkungen, breite Bandbreite für alle Beteiligten, einfache Peering-Vereinbarungen zwischen Bildungsinstitutionen.

Dieses Design ist aus pädagogischer und wissenschaftlicher Sicht sinnvoll – aus Sicherheitssicht ist es problematisch. Angreifer, die einmal ins Netz einer Hochschule gelangen, finden sich in einer Umgebung wieder, in der laterale Bewegung einfach ist: wenige interne Firewalls, flache Netzwerkarchitekturen, viele nicht verwaltete Geräte.

BYOD (Bring Your Own Device) verschärft das Problem erheblich. Studierende und Forschende bringen ihre privaten Laptops, Tablets und Smartphones mit ins Netz der Hochschule. Diese Geräte sind unterschiedlich aktuell, unterschiedlich konfiguriert und potenziell kompromittiert.

“Universitäten sind für Angreifer wie ein All-you-can-eat-Buffet. Das Netz ist gross, die Geräte sind vielfältig, die Nutzer haben wenig Sicherheitsbewusstsein – und die Systeme sind 24/7 erreichbar. Wenn wir Red-Team-Übungen an Hochschulen durchführen, dauert es selten länger als 48 Stunden, bis wir Zugang zu kritischen Systemen haben.” – Red-Team-Spezialist, Deutschschweiz

Massnahmen: Mikrosegmentierung einführen, BYOD-Policy mit klaren Sicherheitsanforderungen, Netzwerkzugangskontrolle (NAC), Zero-Trust-Architektur für kritische Systeme.

3. Schülerdaten und Datenschutz: Besondere Verantwortung

Schulen und Bildungseinrichtungen verarbeiten Personendaten, die besonderen Schutz verdienen: Schüler und Studierende sind oft minderjährig, und ihre Bildungsdaten – Noten, Beurteilungen, Fördermassnahmen, psychologische Unterstützung – sind äusserst sensibel.

Unter dem nDSG müssen Bildungseinrichtungen:

  • Die Rechtmässigkeit jeder Datenbearbeitung sicherstellen
  • Bei der Bearbeitung von Daten Minderjähriger besondere Vorsicht walten lassen
  • Eltern und Erziehungsberechtigten Auskunft über gespeicherte Daten ihrer Kinder erteilen können
  • Datenschutzverletzungen dem EDÖB melden
  • Daten nur so lange aufbewahren wie nötig

Besonders problematisch: Viele Schulen nutzen US-amerikanische EdTech-Plattformen (Google Classroom, Microsoft Teams for Education, Zoom for Schools), die Daten in ausländischen Rechenzentren speichern. Die Rechtmässigkeit dieser Datentransfers ist unter nDSG nicht immer unproblematisch.

Massnahmen: Datenschutz-Folgenabschätzung für alle EdTech-Plattformen, Bevorzugung von Anbietern mit Datenspeicherung in der Schweiz oder EU, klare Einwilligungsprozesse für Eltern, Datenschutzrichtlinien für Schüler verständlich kommunizieren.

4. E-Learning-Plattformen und ihre Sicherheitsrisiken

Die Pandemie hat die Digitalisierung des Bildungswesens massiv beschleunigt. E-Learning-Plattformen wie Moodle, Canvas oder selbst entwickelte Lösungen sind heute fester Bestandteil des Bildungsangebots. Mit dieser Abhängigkeit wachsen auch die Sicherheitsrisiken.

Bekannte Angriffsvektoren auf E-Learning-Plattformen:

  • Credential Stuffing: Angreifer probieren geleakte Passwörter aus anderen Datenlecks auf dem Lernmanagementsystem aus
  • XSS und Injection-Angriffe: Schlecht abgesicherte Plattformen erlauben das Einschleusen von Schadcode
  • Account Takeover: Übernahme von Lehrenden-Accounts, um Schüler mit Malware zu infizieren
  • DoS-Angriffe: Gezielte Überlastung von Plattformen vor Prüfungen – ein zunehmendes Problem

2023 war die Plattform Moodle mehrerer Schweizer Kantonsschulen über mehrere Tage nicht erreichbar, nachdem gezielte DDoS-Angriffe die Server überlasteten. Prüfungstermine mussten verschoben werden.

Massnahmen: Web Application Firewall (WAF), regelmässige Penetrationstests der Lernplattform, Multi-Faktor-Authentifizierung für Lehrende, Rate-Limiting und DDoS-Schutz.

5. Ransomware trifft den Bildungssektor mit voller Wucht

Der Bildungssektor ist nach dem Gesundheitswesen der am zweithäufigsten von Ransomware betroffene Sektor in Europa. Die Gründe sind klar: Bildungseinrichtungen können sich Systemausfälle kaum leisten – Schulbetrieb, Prüfungen, Semesterbeginn und Zulassungsverfahren sind zeitkritisch.

Bekannte Schweizer Vorfälle:

  • 2022 traf ein Ransomware-Angriff die Universität Freiburg und legte mehrere Systeme für Wochen lahm
  • 2023 wurden Schulsysteme in mehreren Zürcher Gemeinden durch Ransomware kompromittiert
  • 2024 meldete eine Schweizer Fachhochschule einen Angriff, bei dem Prüfungsdaten von Studierenden erbeutet und mit Veröffentlichung gedroht wurde

Ransomware-Schutz für KMU umfasst für Bildungseinrichtungen spezifische Elemente: Schutz der Prüfungsserver, Sicherung von Studentenregistern und Notensystemen sowie klare Kommunikationspläne für den Krisenfall.

Der durchschnittliche Ransomware-Schaden für eine Schweizer Bildungseinrichtung – inklusive IT-Forensik, Systemwiederherstellung und Ausfallzeiten – wird auf CHF 300’000 bis CHF 800’000 geschätzt, abhängig von der Grösse der Institution.

Massnahmen:

  • Regelmässige, getestete Offline-Backups aller kritischen Systeme
  • Netzwerksegmentierung, die laterale Ausbreitung verhindert
  • EDR (Endpoint Detection and Response) auf allen Endgeräten
  • Tabletop-Übungen für den Krisenfall (Was tun wenn Prüfungssystem ausfällt?)

BYOD an Schulen und Hochschulen: Risiken managen

BYOD-Policies sind an Schweizer Schulen und Hochschulen unterschiedlich ausgeprägt. Einige Kantone haben eigene Richtlinien erlassen, andere überlassen die Regelung den einzelnen Schulen. Die Cybersecurity-Checkliste für KMU bietet Grundlagen, die auf den Bildungskontext angepasst werden können.

Eine sichere BYOD-Policy für Bildungseinrichtungen umfasst:

Technische Massnahmen:

  • Mobile Device Management (MDM) für schulische Geräte
  • Gäste-WLAN für private Geräte, getrennt vom schulischen Netz
  • VPN-Pflicht für den Zugang zu internen Ressourcen
  • Automatische Updates als Zugangsvoraussetzung

Organisatorische Massnahmen:

  • Klare Nutzungsrichtlinien, die Schüler und Eltern unterschreiben
  • Schulung von Lehrenden im sicheren Umgang mit Schülerdaten auf eigenen Geräten
  • Trennung von privaten und schulischen Daten auf Lehrergeräten
  • Regelungen für ausgeschiedene Lehrende (Datenlöschung)

Phishing in der Bildungsbranche: Wenn der “Rektor” schreibt

Phishing-Angriffe gegen Bildungseinrichtungen sind kreativ und auf die Branche zugeschnitten. Häufige Szenarien:

  • Gefälschte IT-Mitteilungen: “Ihr Konto wird gesperrt, klicken Sie hier zur Verifizierung”
  • CEO/Rektor-Fraud: Gefälschte E-Mails im Namen der Schulleitung mit dringenden Zahlungsanweisungen
  • Gefälschte Stipendien-Benachrichtigungen: Studierende werden mit der Aussicht auf Stipendien gelockt
  • Gefälschte Notenportale: Links zu täuschend echten Kopien des Notenportals, die Login-Daten stehlen
  • Angriffsvektor Forschungskooperationen: Infizierte Anhänge in vermeintlichen Kooperationsanfragen

Besonders gefährdet sind Verwaltungsmitarbeitende, die Zugang zu Finanzsystemen, Personalakten und Immatrikulationssystemen haben.

Branchenspezifische Statistiken

Die Zahlen sprechen eine klare Sprache:

  • 73 Prozent der Schweizer Hochschulen haben laut einem Audit 2024 keine vollständige Sicherheitsdokumentation ihrer IT-Systeme
  • Der Bildungssektor verzeichnet europaweit die höchste Rate an erfolgreichen Phishing-Angriffen: 34 Prozent der Mitarbeitenden klicken auf simulierte Phishing-Links
  • Ransomware-Angriffe auf europäische Bildungseinrichtungen stiegen 2024 um 51 Prozent gegenüber dem Vorjahr
  • 58 Prozent der befragten Schweizer Schulen hatten 2024 keinen getesteten Backup-Wiederherstellungsplan

Was Bildungseinrichtungen jetzt tun können

Kurzfristig (1–3 Monate):

  • Phishing-Schutz für alle E-Mail-Konten aktivieren (SPF, DKIM, DMARC)
  • Backup-Strategie überprüfen und Wiederherstellung testen
  • Passwortrichtlinien und MFA für alle administrativen Konten einführen
  • Sofortmassnahmen nDSG: Verzeichnis der Datenbearbeitungen erstellen

Mittelfristig (3–12 Monate):

  • Netzwerksegmentierung zwischen Schüler/Studierendennetzen und Verwaltungsnetzen
  • EDR auf allen verwalteten Endgeräten installieren
  • Jährliche Sicherheitsschulung für alle Mitarbeitenden einführen
  • BYOD-Policy überarbeiten und dokumentieren
  • Datenschutz-Folgenabschätzung für alle genutzten EdTech-Plattformen

Langfristig (12+ Monate):

  • Zero-Trust-Architektur für kritische Systeme einführen
  • Regelmässige externe Sicherheitsaudits und Penetrationstests
  • Incident-Response-Plan entwickeln und in Übungen testen
  • Red Teaming für gründliche Sicherheitsüberprüfung

Red Teaming für Bildungseinrichtungen

Ein Red-Teaming-Engagement für eine Hochschule oder eine Schule simuliert realistische Angriffsszenarien: Spear-Phishing gegen Forschende, Exploitation offener WLAN-Zugänge, Angriffe auf das Studentenportal oder die Verwaltungssysteme. Im Gegensatz zu einem klassischen Penetrationstest deckt Red Teaming dabei auch die menschlichen und organisatorischen Schwachstellen auf.

Für Bildungseinrichtungen besonders relevant: Das Red Team kann testen, ob Forschungsdaten exfiltriert werden könnten, ob Notenmanipulationen möglich wären oder ob ein Ransomware-Angriff rechtzeitig erkannt würde.

Die Kosten für Red Teaming in der Schweiz sind für Bildungseinrichtungen gut kalkulierbar – und angesichts der möglichen Schäden eine solide Investition in die Betriebssicherheit.

Fazit

Schweizer Bildungseinrichtungen stehen vor einer wachsenden Bedrohungslage, der sie mit historisch offenen Netzwerken, knappen IT-Budgets und hoher Mitarbeiterfluktuation begegnen müssen. Forschungsdatendiebstahl, Ransomware, Phishing und der unsichere Umgang mit Schülerdaten sind die drängendsten Probleme.

Die gute Nachricht: Viele der wirksamsten Schutzmassnahmen sind keine Frage des Budgets, sondern der Priorität. Netzwerksegmentierung, MFA, regelmässige Backups und Schulungen kosten weit weniger als ein einziger erfolgreicher Ransomware-Angriff.

Wer wissen will, wie gut die eigene Bildungseinrichtung einem gezielten Angriff standhält, sollte dies unter kontrollierten Bedingungen testen. Unsere Red-Teaming-Spezialisten bringen jahrelange Erfahrung im Bildungssektor mit und liefern konkrete, umsetzbare Empfehlungen.

Jetzt Red Teaming anfragen – ab CHF 11’900 – und erfahren Sie, wo Ihre Bildungseinrichtung wirklich verwundbar ist. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.