Ransomware
In den frühen Tagen von Ransomware hatten die Angreifer ein einfaches Ziel: Daten verschlüsseln und für die Entschlüsselung ein Lösegeld erpressen. Darum hatten Cyberkriminelle vor allem kommerzielle Unternehmen mit wertvollen Daten im Visier, die ein hohes Lösegeld rechtfertigten. Schulen und Hochschulen galten damals nicht als Ziele. Hacker gingen davon aus, dass Bildungseinrichtungen nicht über Daten verfügen, bei denen sich eine Erpressung lohnt.
Doch die Zeiten haben sich geändert und damit auch das Geschäftsmodell der Ransomware-Gruppen. Ging es früher um Lösegeld für die Entschlüsselung, so geht es inzwischen um die Erpressung für die Nichtoffenlegung gestohlener Daten. Als „Motivation“ zur Lösegeldzahlung gilt jetzt nicht mehr, den normalen Betrieb des Unternehmens wiederherzustellen, vielmehr sollen behördliche Probleme, potenzielle Klagen und Reputationsschäden vermieden werden. Durch diese Veränderung sind nun auch Bildungseinrichtungen ins Fadenkreuz geraten.
In diesem Artikel besprechen wir mehrere Fälle von Ransomware-Angriffen auf Bildungseinrichtungen, betrachten deren Gründe und überlegen, wie sich Cyberkriminelle aus Klassenzimmern und Hörsälen fernhalten lassen.
Angriffe auf Bildungseinrichtungen in den Jahren 2025 und 2026
Im Februar 2026 gab einen Ransomware-Angriff auf die Sapienza Università in Rom, eine der ältesten und größten Universitäten Europas. Die internen Systeme standen drei Tage still. Quellen zufolge hatten die Cyberkriminellen einen Link an die Verwaltung geschickt, der mit einer Lösegeldforderung endete. Nachdem der Link angeklickt worden war, lief ein Countdown: Die Angreifer gaben La Sapienza 72 Stunden Zeit, um ihre Forderungen zu erfüllen. Bisher ist noch nicht bekannt, ob die Universitätsleitung zahlte.
Dieser Fall ist leider keine Ausnahme. Ende 2025 griffen Kriminelle eine andere italienische Bildungseinrichtung an, ein Berufsbildungszentrum in der Kleinstadt Treviso. Schlechte Nachrichten auch aus Großbritannien: Im selben Jahr wurde die Blacon High School mit Ransomware attackiert. Die Verwaltung musste ihre Türen für zwei Tage schließen, um die IT-Systeme wiederherzustellen, das Ausmaß des Vorfalls einzuschätzen und eine weitere Ausbreitung im Netzwerk zu verhindern.
Laut einer Studie der britischen Regierung gelten diese Vorfälle jedoch nur als Momentaufnahme eines umfassenden Trends. Im Jahr 2025 waren demnach 60 % der weiterführenden Schulen, 85 % der Hochschulen und 91 % der Universitäten von Cybervorfällen betroffen. Auf der anderen Seite des Teiches stellten amerikanische Forscher fest, dass Ransomware-Angriffe im Bildungssektor im ersten Quartal 2025 gegenüber dem Vorjahr weltweit um 69 % gestiegen sind. Dieser Trend ist also in jeder Hinsicht global.
Warum Schulen und Universitäten leichte Ziele sind
Der Kern des Problems: Digitale Dienste werden heutzutage sehr schnell in Bildungseinrichtungen integriert. Eine typische Schul- oder Universitätsinfrastruktur verwaltet inzwischen eine schwindelerregende Vielfalt von Diensten:
- Elektronische Zeugnisse und Protokolle
- Plattformen für den Online-Unterricht
- Zulassungssysteme und Datenbanken zur Speicherung personenbezogener Daten von Bewerbern
- Cloud-Speicher für Lehrmaterialien
- Interne Portale für Mitarbeitende und Studierende
- E-Mails für die Kommunikation von Lehrkräften, Studierenden und Verwaltung
Diese Systeme machen die Vorgänge im Bildungsbereich zwar praktischer und überschaubarer, vergrößern aber zugleich die Angriffsfläche. Jeder neue Dienst und jedes zusätzliche Benutzerkonto ist ein potenzieller Schwachpunkt für eine Phishing-Kampagne, eine Kompromittierung des Zugriffs oder ein Datenleck bei personenbezogenen Daten.
Laut britischen Studien gilt einfaches Phishing als primärer Vektor für solche Angriffe. Das ist nicht überraschend: Da Cyberkriminelle den Bildungssektor lange nicht auf dem Radar hatten, waren Schulungen für Mitarbeiter und Studierende im Bereich Cybersicherheit eher Nebensache. Selbst erfahrene Professoren fallen häufig auf gefälschte E-Mails herein, die angeblich vom „Dekan“ oder von der „Universitätsleitung“ stammen.
Es geht jedoch nicht nur um das Lehrpersonal. Auch Studierende verbreiten Malware oft unwissentlich weiter. An vielen Hochschulen verwenden Studierende immer noch USB-Sticks, um Seminararbeiten abzugeben. Diese Datenträger werden an verschiedene private oder öffentliche Geräte angeschlossen und können dabei bösartige digitale Anhalter mitnehmen. Schon ein einziger infizierter USB-Stick an einem Uni-Arbeitsplatz genügt, um Angreifern Zugang zum internen Netzwerk zu verschaffen.
Zwar sind USB-Laufwerke nicht mehr so allgegenwärtig wie noch vor einem Jahrzehnt, dennoch sind sie aus dem Bildungsbereich bisher kaum wegzudenken. Die Bedrohungen, die diese Datenträger transportieren können, dürfen nicht unterschätzt werden.
Cybersicherheit für die Bildungsinfrastruktur
Seien wir ehrlich: Es würde jahrelang dauern, jede Englischlehrerin und jeden Biologielehrer zu trainieren, damit sie Phishing-E-Mails erkennen. Auch USB-Sticks werden nicht über Nacht aus dem Bildungssystem verschwinden.
Glücklicherweise gibt es robuste Sicherheitslösungen (z. B. Kaspersky Small Office Security), die diese Aufgaben übernehmen können. Eine solche Lösung ist ideal für Schulen und Universitäten, die einen Schutz benötigen, der nach der Einrichtung problemlos funktioniert. Außerdem ist sie auch für Institutionen mit einem knappen Budget erschwinglich und erfordert keine laufende Verwaltung.
Kaspersky Small Office Security kümmert sich um alle oben genannten Bedrohungen: Es blockiert Klicks auf Phishing-Links, untersucht automatisch USB-Laufwerke, sobald sie angeschlossen werden, und verhindert die Ausführung verdächtiger Dateien auf Geräten, die bereits mit dem Netzwerk der Bildungseinrichtung verbunden sind.
Tipps