Thought Leadership
Wenn Hacker Krankenhäuser, Schulen oder in diesem Fall Kindergärten angreifen, ist es moralisch das Allerletzte. Der Kido-Kindergarten-Datendiebstahl in Großbritannien hat die persönlichen Daten von Tausenden von Kindern in Gefahr gebracht. Namen, Fotos, Wohnadressen, sogar Notizen zu Schutzmaßnahmen wurden gestohlen.
Das ist die Art von Information, die man nicht einfach sperren kann wie eine Kreditkarte. Sobald sie draußen ist, bleiben sie für immer draußen. Das sind Daten, die Stalking, Belästigung oder sogar die gezielte Verfolgung von Familien ermöglichen könnten.
Dieser Hack offenbart dieselben Probleme, die wir immer wieder sehen. Viele Kinderbetreuungs- und Bildungseinrichtungen denken nicht wie potenzielle Angriffsziele.
Die IT wird “gerade so ausreichend” ausgelagert, um die Systeme am Laufen zu halten, aber nicht genug, um Sicherheit in die DNA des Unternehmens einzubauen. Daten landen auf veralteten Servern, ohne starke Verschlüsselung, ohne Zwei-Faktor-Authentifizierung und meist mit Personal, das nicht geschult ist, Phishing-E-Mails zu erkennen. Es war nur eine Frage der Zeit, bis eine Gruppe wie Radiant die Schwachstellen findet und eindringt.
Dass die Hacker es als “Pentest” darstellen, ist natürlich lächerlich. Ein Pentest wird, wenn er rechtmäßig durchgeführt wird, vereinbart, geplant und kontrolliert. Was diese Angreifer getan haben, kam eher einem Einbruch in jemandes Haus gleich, bei dem sie Fotos von den Kinderzimmern machen und dann von den Eltern Geld verlangen, um zu “beweisen, dass die Schlösser repariert werden müssen”. Es ist schlicht und einfach Erpressung. Sich hinter Cybersicherheits-Schlagworten zu verstecken, macht es nicht akzeptabel.
Was können Kindergärten oder wirklich jede kleine Unternehmenskette, die sensible persönliche Daten verarbeitet, besser machen? Ein paar Grundlagen helfen bereits enorm:
- Alles verschlüsseln. Fotos, Notizen, Adressen, Datenbanken – alles sollte gesichert sein, damit gestohlene Dateien nicht sofort verwendbar sind.
- Zero-Trust-Zugriff. Mitarbeiter sollten nur die Daten sehen, die sie benötigen, nicht mehr. Keine weit geöffnete Datenbank für alle.
- Regelmäßige Backups und Notfallübungen. Wenn Ransomware zuschlägt, braucht man einen Weg zurück ins Netz, ohne die Kriminalitätswirtschaft zu befeuern.
- Mitarbeiterschulung. Eltern vertrauen Kindergärten ihre Kinder an. Kindergärten müssen darauf vertrauen können, dass ihre Mitarbeiter Betrugsversuche erkennen und strenge Sicherheitsschritte befolgen.
Ganz klar: Wenn man Informationen über Kinder besitzt, ist man ein hochwertiges Ziel. Hacker. Das bedeutet, dass die Plficht bei diesen Einrichtungen darin liegt, Kinderdaten wie Gold zu behandeln und sie genauso zu verteidigen, wie Banken ihre Tresore schützen.
Autor: Mantas Sabeckis, Senior Security Researcher, Cybernews
