Vaker dan je zou denken, halen leerlingen streken uit en vallen ze schoolsystemen aan. Maar ongeacht of het om leerlingen of criminelen gaat, scholen hebben behoefte aan veiligheidsconcepten. Hulpmiddelen daarbij zijn toegangsbeheer en veiligheidsbewustzijn.
Een 14-jarige zou een denial-of-service-aanval hebben gepleegd op een leerplatform, zoals SWR in februari meldde. Met de hackeraanval op het systeem had hij in januari het afstandsonderwijs van verschillende scholen in Rijnland-Palts volledig lamgelegd. Rechercheurs beschuldigden de jongeren van sabotage. Het Openbaar Ministerie heeft onderzocht welke “educatieve maatregelen” in dit geval passend waren.
Het is niet ongewoon dat studenten hun eigen lessen op afstand verstoren. Dit komt doordat de videoconferenties en chats van veel open source platforms, zoals Jitsi of Big Blue Button, die scholen graag gebruiken, maar ook bij Microsoft Teams en Zoom, vrij toegankelijk zijn zodra de naam van de conferentie of een inbellink beschikbaar is.
“Helaas gebeurt dit keer op keer,” meldt Patric Raiber, hoofd Publieke Sector bij ACP. “Uit ervaring blijkt dat veel aanvallen gaan naar de accounts van experimentele studenten, waaronder ongeoorloofde toegang tot gegevens of programma’s. Naarmate meer en meer digitale media hun weg vinden naar het klaslokaal, zal hun bereidheid om te experimenteren in de toekomst zeker toenemen.” Maar wat als het niet de leerlingen zelf zijn die vrienden uitnodigen in de chat om het thuisonderwijs te verstoren, maar de conferentie wordt gehackt door een crimineel?
De overstap op korte termijn naar virtuele leeromgevingen heeft de IT-beveiliging geen goed gedaan. Niet alleen, maar vooral Zoom heeft in de afgelopen Corona-jaren aan populariteit gewonnen en heeft daarom met veel indringers te maken gehad. Media meldden regelmatig dat hackers porno afspeelden tijdens vergaderingen of deze anderszins verstoorden.
Wachtkamers, wachtwoorden en end-to-end encryptie moeten uitkomst bieden, evenals meer mogelijkheden voor moderators om in te grijpen. Maar ook overbelastingsaanvallen die platformen doen instorten en phishingmails die gegevens versleutelen om losgeld af te persen, behoren tot de methoden.
Bij onderwijsinstellingen wordt een onderscheid gemaakt tussen het administratieve netwerk en het onderwijsnetwerk. Deze laatste verschaft de infrastructuur voor de bovengenoemde platforms. Vaak zijn de netwerken slecht beveiligd, zo meldt Dr. Janina-Vanessa Schneider, Business Development Manager Vertical Markets bij de distributeur Also. Daarom kunnen aanvallers hier met de eenvoudigste middelen wachtwoorden stelen.
De buit die hackers in het administratienetwerk kunnen maken, is echter veel explosiever. Omdat het administratienetwerk computers van de schoolleiding en het secretariaat omvat. De werknemers slaan er persoonlijke gegevens, certificaten en evaluaties op. Volgens Schneider is een scheiding van de twee netwerken dan ook absoluut noodzakelijk.
“Er is heel weinig tijd geweest om na te denken over beveiliging of om alle gebruikers een basisopleiding cyberbeveiliging te geven”, aldus Martin Weiß, Sophos publieke beveiligingsexpert. “Dit heeft de kwetsbaarheid van de sector opnieuw aanzienlijk vergroot.”
De deskundige maakt melding van verouderde infrastructuren en silo-oplossingen. In dit verband vertrouwen zowel scholen als bedrijven op perimeterbeveiliging via firewalls, endpointbeveiliging op clients en serversystemen en de veilige integratie van mobiele apparaten.
Raiber voegt hieraan toe: “De toegang tot netwerken moet worden gecontroleerd. Een complex wachtwoord voor het schooldomein zou net zo vanzelfsprekend moeten zijn als het gebruik van producten met hoge beveiligingsnormen. Helaas zijn er echter nog steeds scholen die naast bedrijfsproducten ook consumentenapparatuur toestaan, die vaak veel minder goed beveiligd zijn.” Hieruit blijkt duidelijk dat het scholen ontbreekt aan duidelijke specificaties en uniforme veiligheidsnormen.
Met het DigitalPakt Schule willen de federale en deelstaatregeringen in de eerste plaats de aanschaf van hardware en WLAN-infrastructuur bevorderen en onderwijsinstellingen digitaler maken.
Volgens Ingo Steuwer, hoofd productmanagement bij Univention, is slechts een klein deel van de middelen voor de aanschaf van software gepland. De schoolnetwerken moeten worden beveiligd met software voor toegangsbeheer.
Voor dit doel biedt Univention een open source platform waarmee scholen hun IT en alle identiteiten kunnen beheren. Dankzij het centrale beheer van identiteiten en hun toegang gaat een vermindering van het aantal gebruikte accounts meestal hand in hand, aldus Steuwer. “Het risico van het rondsturen van wachtwoordenlijsten die gemakkelijk verloren kunnen gaan of, in het geval van een compromis, het identificeren van de vele plaatsen waar een account moet worden geblokkeerd, wordt drastisch verminderd.”
Als scholen het beheer van hun IT willen uitbesteden, staan MSP’s en systeemhuizen klaar om te adviseren. “Wij bieden beheerde beveiligingsdiensten,” zegt Raiber. “Dit betekent dat we niet alleen onderdelen van de beveiligingsstrategie opzetten, zoals een firewall, netwerktoegangscontrole of endpointbescherming, maar ook zorgen voor de soepele werking. Door ook de geïmplementeerde oplossingen te monitoren, merken we ongebruikelijke processen snel op en kunnen we dus snel handelen in geval van nood.”
De bereidheid om digitalisering aan te pakken is duidelijk merkbaar bij onderwijsinstellingen. Scholen en schoolbesturen maken steeds meer gebruik van de middelen uit het DigitalPakt.
Het beveiligingsconcept moet echter holistisch worden bekeken. De aanschaf van beveiligingsoplossingen alleen is niet voldoende. Naast het schoolpersoneel moeten in de eerste plaats de leerlingen bewust worden gemaakt van IT-beveiliging. Alle betrokkenen moeten voor ogen houden dat kinderen en tieners geen klassieke eindklanten zijn. De maatregelen voor veiligheidsbewustmaking moeten pedagogisch en gemakkelijk te begrijpen zijn. “Onze ervaring is dat het gebruik van simulatietools voor phishing bijzonder nuttig is gebleken, omdat ze leerlingen op een speelse manier kennis laten maken met het probleem en toch een groot leereffect hebben”, aldus Weiß.
Om de dorst van kinderen naar experimenteren te lessen zonder schade aan te richten, biedt de Hacker School bijvoorbeeld projecten aan op scholen met zijn “@yourschool”-programma, waarin leerlingen zelf mogen programmeren en kennismaken met IT-beroepen.