Schutz von K-12-Schulen vor Phishing: Erkenntnisse aus Lightning Chat Episode 6

lightning chat episode 6 phishing

3 wichtige Erkenntnisse

  • Phishing ist eine größere Bedrohung, als Schulen erkennen: Nur 271.000 Schulbezirke sehen Phishing als hohes Risiko an, doch es ist eine häufige Methode, mit der Hacker K-12-Schulen ins Visier nehmen und Schüler, Mitarbeiter und Daten gefährden.
  • Bewusstsein und Überprüfung sind der Schlüssel: Bringen Sie dem Schulpersonal bei, Phishing-E-Mails zu erkennen und verdächtige Anfragen per Telefon oder SMS und nicht per E-Mail zu überprüfen, um nicht auf ausgeklügelte Angriffe hereinzufallen.
  • Nutzen Sie kostenlose Tools und widerstandsfähige MFA: Plattformen wie Microsoft 365 und Google Workspace verfügen über integrierte Funktionen zum Erkennen von Phishing, und Phishing-resistente MFA wie PassKeys können Hacker blockieren, selbst wenn sie Anmeldeinformationen stehlen.

Phishing stellt eine große Bedrohung für Schulen dar, insbesondere da viele nicht über das Budget oder das Personal verfügen, um es direkt zu bekämpfen. In Lightning Chat Episode 6 sprachen John Genter, Chief Information Security Officer bei Lightspeed Systems, und Brad White, Principal Applications Security Architect, über Phishing an Schulen. Dank ihrer über 30-jährigen Zusammenarbeit im Bereich Cybersicherheit und ihrer engen Verbindung zum Bildungswesen (John war 22 Jahre lang Mitglied des Schulvorstands, Brad stammt aus einer Lehrerfamilie) legten sie dar, warum Phishing ein größeres Problem darstellt, als die meisten Schulen denken, und stellten praktische und kostengünstige Methoden zur Bekämpfung vor.

Schulen sind größere Ziele von Phishing als Sie denken

John begann mit einer überraschenden Tatsache aus einem CoSN-Bericht: „Nur 271.700 Bezirke identifizierten Phishing als hohes Risiko.“ Das ist ein großer Fehler, insbesondere wenn man die Aussage der Cybersecurity and Infrastructure Security Agency (CISA) berücksichtigt: „Böswillige Cyber-Akteure zielen landesweit auf K-12-Bildungseinrichtungen ab, mit potenziell katastrophalen Auswirkungen auf Schüler, ihre Familien, Lehrer und die Verwaltung.“ Brad stimmte zu und sagte: „K-12 ist aus mehreren Gründen ein relativ leichtes Ziel.“ Warum? Hier ist die Aufschlüsselung:

  • Knappe Budgets: Schulen können sich erstklassige Cybersicherheitstools oft nicht leisten.
  • Kleine IT-Teams: Weniger Personal bedeutet, dass es schwieriger ist, die Bedrohungen im Griff zu behalten.
  • Falsche Denkweise: Viele Leute denken, dass es sich nicht lohnt, Schulen anzugreifen, aber Hacker wissen, dass sie ein leichtes Ziel sind.

John erzählte ein Beispiel aus der Praxis: „Allein in den letzten Wochen haben wir fünf kompromittierte Konten von Kunden beobachtet, die versucht haben, Mitarbeiter von Lightspeed zu fischen.“ Brad erklärte, wie diese Angriffe funktionieren: „Die Angreifer nutzen ausgeklügelte Adversary-in-the-Middle-Angriffe … und stehlen sowohl den Benutzernamen und das Passwort des Benutzers als auch dessen Sitzungstoken, selbst wenn sie MFA verwenden.“ Diese Angriffe können jeden treffen – IT-Mitarbeiter, Lehrer, wen auch immer – und sie können die standardmäßige Multi-Faktor-Authentifizierung (MFA) umgehen, wenn diese nicht so konzipiert ist, dass sie Phishing verhindert.

Einfache und kostenlose Möglichkeiten, sich vor Phishing-Versuchen in der Schule zu schützen

John und Brad waren sich einig: Man braucht kein großes Budget, um Phishing zu bekämpfen. Bewusstsein ist der erste Schritt. Brad drückte es einfach aus: „Das günstigste Mittel ist ein gesteigertes Bewusstsein. Stellen Sie sicher, dass Ihre Benutzer wissen, dass sie Ziel von Phishing-Angriffen sind und bei unerwarteten E-Mails besonders vorsichtig sein sollten.“ John hatte dafür einen einprägsamen Spruch parat, der Ronald Reagan in den Schatten stellte: „Vertrauen ist gut, Kontrolle ist besser“ oder noch besser: „Nicht antworten, sondern kontrollieren.“ Ihre Tipps:

  • Überprüfen Sie seltsame E-Mails doppelt: Wenn Sie in einer E-Mail zu ungewöhnlichen Aktionen aufgefordert werden, wie zum Beispiel auf einen Link zu klicken, antworten Sie nicht. Rufen Sie stattdessen den Absender an oder schreiben Sie ihm eine SMS. Brad warnte: „Wir haben Fälle erlebt, in denen die Angreifer die Kontrolle über den E-Mail-Posteingang des Absenders hatten.“
  • Holen Sie alle an Bord: Stellen Sie sicher, dass alle Mitarbeiter, vom Schulleiter bis zum Hausmeister, wissen, dass sie zum Ziel von Phishing werden könnten und wie Phishing aussieht.

Technische Tricks zum Sperren von Dingen

Auf technischer Seite drängten sie auf Phishing-resistente MFA. Brad sagte, gängige MFA-Methoden wie SMS-Codes oder App-Benachrichtigungen könnten „durch Admirary-in-the-Middle-Angriffe gestohlen werden“. Stattdessen sollten „FIDO-basierte Token wie UVKeys oder PassKeys … wie Windows Hello“ eingesetzt werden. John fügte hinzu: „Selbst eine einfache MFA ist besser als nichts“, aber die Phishing-resistente Variante sei bahnbrechend. Sie verwiesen auch auf kostenlose Tools in Plattformen wie Microsoft 365 oder Google Workspace:

  • Behalten Sie die Protokolle im Auge: Achten Sie auf ungewöhnliche E-Mail-Regeln, beispielsweise darauf, dass Nachrichten als gelesen markiert und in versteckte Ordner verschoben werden oder dass Anmeldungen von ungewöhnlichen Orten erfolgen.
  • Seien Sie auf der Hut vor hinterhältigen Angriffen: Brad bemerkte: „Sie beobachten das Verhalten eines Benutzers, sobald dieser Zugriff erhält … und sich einen Computer in der Nähe besorgt“, wodurch es schwierig wird, nicht autorisierte Anmeldungen zu erkennen.

Phishing-Schäden mit dem Prinzip der geringsten Privilegien begrenzen

Eine weitere wichtige Idee war die Zugriffsbeschränkung, um den Schaden im Falle eines Hackerangriffs zu verringern. Brad empfahl: „Geben Sie ihnen nicht automatisch Zugriff auf alles. Geben Sie ihnen Zugriff auf das, was sie brauchen.“ John verglich es mit einem U-Boot: „Wenn ein Teil beschädigt ist, sinkt nicht das ganze U-Boot.“ So geht’s:

  • Gewähren Sie gerade genug Zugriff: Lassen Sie Mitarbeiter in Office 365 oder Google Workspace nur die Tools verwenden, die sie benötigen, wie E-Mail oder Word, nicht SharePoint oder Teams.
  • Optimieren Sie im Laufe der Zeit: Wenn sich der Arbeitsplatz einer Person ändert, aktualisieren Sie deren Zugriff, um die Sicherheit zu gewährleisten, ohne sie zu verlangsamen.

Kurzes, häufiges Training ist besser als lange Vorträge

Vergessen Sie stundenlange Schulungen einmal im Jahr. John und Brad sagten, kurze, regelmäßige Erinnerungen seien besser. John erzählte, wie Lightspeed in seinem Newsletter einen „Tipp der Woche“ veröffentlicht, und Brad gefiel die Idee einer „kürzeren, regelmäßigeren Kommunikation“, um alle wachsam zu halten. Sie schlugen vor:

  • Wöchentliche Updates: Senden Sie kurze E-Mails mit echten Beispielen, etwa „Hier ist, was da draußen gerade passiert … hier sind einige Links anderer K-12-Organisationen, die kompromittiert wurden.“
  • Machen Sie die Berichterstattung einfach: Ermutigen Sie die Mitarbeiter, seltsame E-Mails schnell zu melden, ohne zu urteilen.

Zusammenfassung: Seien Sie wachsam gegenüber Phishing

Brads letzte Worte waren unverblümt: „Machen Sie Ihren Benutzern klar, dass sie Opfer von Phishing sind. Sie sind definitiv Opfer von Phishing, garantiert, 100%.“ Er drängte auf die Verwendung von Passkeys, die auf den meisten Geräten funktionieren, für Nicht-Studentenkonten. John empfahl, den CoSN-Bericht und die CISA-Website für weitere Ratschläge zu lesen.

Phishing ist nicht nur ein Problem für große Unternehmen – es trifft auch Schulen hart. Durch Aufklärung, den Einsatz von Phishing-resistenter MFA und kostenlose Tools können Schulen ihre Risiken deutlich reduzieren. Wie John und Brad in Lightning Chat Episode 6 gezeigt haben, können ein paar clevere und kostengünstige Maßnahmen Schüler, Mitarbeiter und Daten schützen. Sehen Sie sich die ganze Folge an und bleiben Sie wachsam!

Empfohlener Inhalt

Aufbau einer Zusammenarbeit zwischen IT und Lehrkräften

Da die digitale Lernumgebung heutzutage auf allen Ebenen der K-12-Bildung allgegenwärtig ist, ist der effektive Einsatz von Edtech von größter Bedeutung, um den Schülern die gewünschten Lernergebnisse zu liefern. Dies erfordert jedoch...

Den Erfolg der Schüler im Klassenzimmer feiern

Ein großer Teil des Lehrberufs besteht darin, auf Fehler hinzuweisen, Fehler zu korrigieren und dergleichen. Aber wie immer ist es wichtig, konstruktivem, korrigierendem Feedback entgegenzuwirken, indem …

Was kann ein Lehrer tun, um Ablenkungen im Klassenzimmer zu bewältigen?

Der effektive Umgang mit Ablenkungen im Klassenzimmer ist seit Generationen eine Herausforderung für Lehrer. Erst jetzt, im Zeitalter des digitalisierten Klassenzimmers, ist der effektive Umgang mit Ablenkungen im Klassenzimmer möglich.
Neueste Beiträge

YouTube hat das Klassenzimmer nicht übernommen. Die Daten von Tells erzählen eine andere Geschichte. 

Aktuell klingen viele Gespräche über Bildschirmzeit so: “Wir finden, Schüler verbringen zu viel Zeit online.” Das ist nicht zielführend. Stellen Sie sich nun vor, Sie gehen in eine Schulratssitzung und sagen: “Wir teilen Ihre Bedenken hinsichtlich Bildschirmzeit und Technologieeinsatz. Deshalb überwachen und steuern wir diesen aktiv, um ein ausgewogenes und effektives Verhältnis zu gewährleisten."

Falsch-positive Ergebnisse und die Lücke bei der Überwachung der Schülersicherheit: Warum die meisten Tools ihr Ziel verfehlen – und was Lightspeed stattdessen bietet 

Schulen benötigen zeitnahe Informationen über schwerwiegende Sicherheitsrisiken für Schüler. Doch diese Informationen entfalten ihre Wirkung nur dann, wenn die Schulleitung schnell und sicher auf Warnmeldungen reagieren kann. Dazu ist die Qualität der Warnmeldungen entscheidend, nicht nur deren Anzahl.

Lightspeeds fortgesetzte Investitionen in die Inhaltsfilterung für Schulen (K-12)

Lightspeed investiert kontinuierlich, um sicherzustellen, dass unser Filter der sicherste und umfassendste ist. Unsere jüngsten Releases konzentrieren sich auf ein Ziel: IT-Teams Echtzeitkontrolle in einer sich ständig verändernden IT-Landschaft zu ermöglichen.