„Wenn wir die Zukunft unserer Kinder sichern wollen, müssen wir ihre persönlichen Daten schützen“, sagte First Lady Jill Biden, eine Lehrerin, der Versammlung. „Jeder Schüler verdient die Gelegenheit, einen Schulberater aufzusuchen, wenn er Schwierigkeiten hat, und muss sich keine Sorgen machen, dass diese Gespräche mit der Welt geteilt werden.“
Nach Angaben des Cybersicherheitsunternehmens Emsisoft wurden in diesem Jahr mindestens 48 Bezirke von Ransomware-Angriffen heimgesucht – bereits drei mehr als im gesamten Jahr 2022. Bei allen bis auf zehn wurden Daten gestohlen, berichtete das Unternehmen. Typischerweise stehlen russischsprachige, im Ausland ansässige Banden die Daten – manchmal auch die Sozialversicherungsnummern und Finanzdaten von Bezirksmitarbeitern –, bevor sie netzwerkverschlüsselnde Malware aktivieren und drohen, sie online zu stellen, sofern sie nicht in Kryptowährung bezahlt werden.
„Letztes Schuljahr wurden Schulen in Arizona, Kalifornien, Washington, Massachusetts, West Virginia, Minnesota, New Hampshire und Michigan alle Opfer schwerer Cyberangriffe“, sagte die stellvertretende nationale Sicherheitsberaterin für Cyber, Anne Neuberger Gipfel.
Ein Bericht des Government Accountability Office, einer Bundesaufsichtsbehörde, vom Oktober 2022 ergab, dass allein im Jahr 2020 mehr als 1,2 Millionen Schüler betroffen waren – mit einem Lernverlust zwischen drei Tagen und drei Wochen. Laut einer Umfrage des Center for Internet Security, einer staatlich finanzierten gemeinnützigen Organisation, war bis Ende 2021 fast jeder dritte US-Bezirk von Sicherheitsverletzungen betroffen.
„Unterschätzen Sie nicht die Rücksichtslosigkeit derer, die uns Schaden zufügen wollen“, sagte Heimatschutzminister Alejandro Mayorkas während des Gipfels. Er wies darauf hin, dass sogar Berichte über Selbstmordversuche von kriminellen Erpressern online gestellt wurden, und forderte Pädagogen auf, bereits verfügbare Bundesressourcen zu nutzen .
Bildungstechnologieexperten lobten die Biden-Regierung für die Sensibilisierung, beklagten jedoch, dass derzeit nur begrenzte Bundesmittel zur Verfügung stehen, um eine Geißel zu bekämpfen, gegen die finanzschwache Schulbezirke kaum wirksam vorgehen können.
Zu den auf dem Gipfel angekündigten Maßnahmen gehören: Die Cybersecurity and Infrastructure Security Agency wird maßgeschneiderte Sicherheitsbewertungen für den K-12-Sektor verstärken, während Technologieanbieter, darunter Amazon Web Services, Google und Cloudflare, Zuschüsse und andere Unterstützung anbieten.
Ein von Jessica Rosenworcel, Vorsitzende der Federal Communications Commission, vorgeschlagenes Pilotprojekt – über das die Behörde noch nicht abgestimmt hat – würde über einen Zeitraum von drei Jahren 200 Millionen US-Dollar zur Verfügung stellen, um die Cyberabwehr in Schulen und Bibliotheken zu stärken.
„Das ist ein Tropfen auf den heißen Stein“, sagte Keith Krueger, CEO des gemeinnützigen Consortium for School Networking. Schulbezirke schrieben im vergangenen Herbst an die FCC und forderten, dass diese noch viel mehr leisten solle – Krueger sagte, dass durch sein E-Rate-Programm, das seit 1997 dazu beigetragen hat, das Breitband-Internet in Schulen und Bibliotheken im ganzen Land auszubauen, jährlich etwa 1 Milliarde US-Dollar bereitgestellt werden könnten.
Er sagte, er sei dennoch ermutigt, dass das Weiße Haus, die Ministerien für Bildung und Innere Sicherheit sowie die FCC anerkennen, dass die Ransomware-Angriffe, die die 1.300 öffentlichen Schulbezirke des Landes heimsuchen, „ein Feuer mit fünf Alarmstufen“ seien.
Das bleibende Erbe von Ransomware-Angriffen auf Schulen besteht nicht in Schulschließungen, Wiederherstellungskosten in Höhe von mehreren Millionen Dollar oder gar in steigenden Cyber-Versicherungsprämien. Es ist das Trauma für Mitarbeiter, Schüler und Eltern durch die Online-Offenlegung privater Aufzeichnungen – worüber die AP in einem letzten Monat veröffentlichten Bericht detailliert berichtet hat, der sich auf Datendiebstahl durch weit verstreute Kriminelle aus zwei Bezirken konzentriert: Minneapolis und dem Los Angeles Unified School District .
Superintendent Alberto Carvalho vom Distrikt Los Angeles, dem zweitgrößten des Landes, berichtete den Gipfelteilnehmern über gewonnene Erkenntnisse und Best Practices zur Eindämmung der Auswirkungen erpressender Ransomware-Angriffe.
Zunächst sagte er: „Wir verhandeln nicht mit Terroristen. Wir haben das Lösegeld nicht bezahlt.“ Carvalho bemerkte, dass ihm das FBI gesagt habe, dass die Zahlung von Lösegeld keine Garantie dafür sei, dass die gestohlenen Daten nicht irgendwann in Dark-Web-Foren landen, wo Hacker sie für den Einsatz bei Identitätsdiebstahl, Betrug und anderen Straftaten verkaufen.
Während andere Ransomware-Ziele Netzwerke verstärkt und segmentiert, Daten verschlüsselt und eine Multi-Faktor-Authentifizierung vorgeschrieben haben, haben die Schulsysteme langsamer reagiert.
Ein wichtiger Grund war die mangelnde Bereitschaft der Schulbezirke, Vollzeitkräfte für Cybersicherheit zu finden. In seiner jährlichen Umfrage 2023 stellte das Consortium for School Networking fest, dass nur 16 % der Bezirke über Vollzeit-Netzwerksicherheitspersonal verfügen, verglichen mit 21 % im letzten Jahr.
Auch die Ausgaben für Cybersicherheit in den Bezirken sind dürftig. Die Umfrage ergab, dass nur 24 % der Bezirke mehr als ein Zehntel ihres IT-Budgets für die Cybersicherheitsverteidigung ausgeben, während fast die Hälfte 2 % oder weniger ausgab.