MAINZ. Unbekannte haben die Homepage einer Mainzer Grundschule manipuliert – wer die Seite aufrief, wurde automatisch auf eine Pornoseite weitergeleitet. Was in diesem Fall noch als übler Streich ohne nachhaltige Folgen gesehen werden kann, bringt bundesweit immer mehr Bildungseinrichtungen in massive Schwierigkeiten: Hackerangriffe. Die komplette Universität Gießen war unlängst deshalb über Wochen offline. Wer schützt Schulen und Lehrer mit ihren sensiblen Daten eigentlich vor digitalen Eindringlingen? Und: Wer haftet, wenn dadurch Schäden entstehen? Dass Lehrer in der Praxis gezwungen sind, mit privaten Rechnern zu arbeiten, verschärft das Problem.
Der Abwehrkampf gegen Hackerangriffe ist mitunter mühsam. Selbst im eher harmlosen Fall der Mainzer Grundschule, deren Online-Besucher auf eine Sexseite umgeleitet wurden, brauchte es einige Zeit, bis die Stadtverwaltung das Problem zumindest teilweise im Griff hatte. Mindestens zwei Tage lang konnte die Peinlichkeit nicht behoben werden. Erst am Donnerstag war dann eine zwar abgespeckte, aber immerhin seriöse Notseite der Grundschule mit einem Hinweis auf Überarbeitung zu sehen.
Schulen beschäftigen keine IT-Administratoren
Nach Angaben einer Stadtsprecherin betreiben Schulen ihre Homepages auf eigene Verantwortung, bekämen aber bei Hackerangriffen Unterstützung von der Stadtverwaltung – etwa bei der Suche nach einer Firma zur Problembehandlung. Die allermeisten Schulen verfügen jedoch weder über Etats für solche Zwecke noch beschäftigen sie eigene IT-Administratoren, die sich tagelang mit einer Bereinigung der Systeme herumschlagen könnten.
Das ist aber oft nötig. Auch sind die Kosten nicht unerheblich. Einen Monat nach einer schweren Cyber-Attacke konnte die Uni Gießen in der vergangenen Woche „schrittweise weitere IT-Komponenten in Betrieb“ nehmen, wie es hieß. Komplett beseitigt sind die Schwierigkeiten also noch immer nicht. Die Universität war seit dem Angriff mit einer Schadsoftware am 8. Dezember weitestgehend im Offline-Modus. Der Leiter des Hochschulrechenzentrums meint, dass man es mit einer ganz neuen Qualität von Cyber-Angriffen zu tun gehabt habe, „auf die keine Hochschule, die ich kenne, eingerichtet gewesen wäre“. Der dadurch entstandene Schaden sei derzeit nicht bezifferbar, sagt Uni-Präsident Joybrato Mukherjee. Die Generalstaatsanwaltschaft Frankfurt hat Ermittlungen aufgenommen.
Welche Schule kann es leisten, sich auf ausgeklügelte Attacken vorzubereiten?
Die Universität will Lehren aus ihrem «digitalen Notstand» ziehen. Man wolle nicht einfach zurück zum Status vor dem Angriff, betont Mukherjee. Das IT-System solle so neu strukturiert werden, «dass wir maximal gut vorbereitet sind für zukünftige noch ausgeklügeltere Cyber-Attacken». Deren Zahl werde weiter steigen und neue Dimensionen annehmen, sagt er voraus. Welche Schule kann es leisten, sich darauf vorzubereiten?
Der Angriff auf die Universität erfolgte offenbar zunächst mit der Schadsoftware „Emotet“. Dagegen gebe es keine technische Lösung, weil sich der Virus extrem gut tarne, ständig verändere und schnell weiterverbreite, so berichtet Sascha Martens, Experte für Cyber-Sicherheit, in einem Interview mit der „Gießener Allgemeine“. Häufig seien E-Mails mit infiziertem Anhang Ausgangspunkt, und die seien schwer erkennbar. Emotet komme nämlich häufig nicht von einem dubiosen Absender, sondern verwende dem Empfänger bekannte E-Mail-Adressen.
Besonders perfide: Der Angriff auf die Uni erfolgte augenscheinlich in zwei Wellen. Nach der Infektion mit „Emotet“ wurde der Virus „Ryuk“ nachgeladen. Ryuk mache sich im Netzwerk selbstständig und verschlüssele alle Daten. „Wenn es perfekt für den Angreifer läuft, gibt es keinen Weg zurück. Außer Lösegeld zu zahlen. Ryuk wird sehr oft zur Erpressung verwendet“, so sagt Martens. Dass dies im Fall der Uni Gießen wohl nicht der Fall war, hatte wohl mit Glück zu tun. Und mit Geschwindigkeit. „Das könnte daran liegen, dass die Hochschule so schnell reagiert hat, dass nicht genug Schadsoftware nachgeladen werden konnte“, so erklärt der Experte. Gleichwohl ist der Schaden immens.
Zwei Grund- und eine Mittelschule wurden mit „Emotet“ angegriffen
Angriffe mit „Emotet“ hat es auch schon auf Schulen gegeben. Im Dezember traf es in Nürnberg das Schulamt sowie drei Schulen, nämlich zwei Grundschulen und eine Mittelschule, wie die Seite nordbayern.de berichtet. Die Verantwortlichen hätten die Schulen komplett digital isolieren müssen. Die Folgen: Die ganze Schulverwaltung war lahmgelegt. Es waren keine Schülerdaten, keine E-Mails abrufbar, „zur Freude der Schüler auch keine Verweise eintragbar“, so heißt es. Telefonverbindungen gab es nicht mehr. Krankmeldungen waren nicht möglich.
Dass sensible Daten bei dem Angriff abgegriffen wurden, darauf gebe es allerdings keine Hinweise. Das Ziel der Hacker sei wohl gewesen, „brachial alles kaputt zu machen“, so mutmaßt Nürnbergs Schulbürgermeister Klemens Gsell. „Die Angreifer wollten zeigen: ‚Wir können Deutschland lahmlegen‘!“ Agentur für Bildungsjournalimus
Ist es rechtlich vertretbar, wenn Lehrer für ihre Dienstangelegenheiten private Rechner benutzen? Das Schulministerium Nordrhein-Westfalen hat dafür in einer Dienstanweisung 2018 hohe Hürden gesetzt (News4teachers berichtete).
Das nordrhein-westfälische Schulministerium hat eine Dienstanweisung herausgegeben, in der strenge Voraussetzungen vorgegeben sind, die Lehrkräfte zu erfüllen haben, wenn sie private Computer und Smartphones nutzen wollen. Volle elf Seiten umfasst das Formular mit Erläuterungen (hier nachlesbar). „Diese Erklärung sorgt dafür, dass Sie rechtssicher mit den Daten Ihrer Schülerinnen und Schülern auf Ihren privaten Endgeräten arbeiten können. Sofern Sie die hier aufgeführten Maßnahmen zum Schutz der Daten einhalten, ist eine Haftung für Sie ausgeschlossen“, heißt es in dem Papier. Andersherum: Wer die Vielzahl der Vorgaben nicht erfüllt – der macht sich strafbar.
Verpflichten soll sich die Lehrkraft dann, dass die Daten auf ihrem privaten Rechner nach einem Jahr gelöscht, dass die automatische Sperre des Privat-Computers nach maximal 15 Minuten einsetzt, wenn daran nicht gearbeitet wird, und dass keine Sicherungskopien von Daten in Clouds, also auf Servern im Internet, gezogen werden. Auch müssen Lehrerinnen und Lehrer unterschreiben, dass ihr privates Betriebssystem regelmäßig aktualisieren und warten lassen und dass ein Zugriff auf sensible Schüler-Daten beispielsweise durch Whatsapp ebenso wie die Nutzung von USB-Sticks ausgeschlossen ist.
Für den Datenschutz an der Schule sind die Schulleitungen verantwortlich
Die Schulleitungen seien letztlich dafür verantwortlich, dass sensible Informationen geschützt seien, so betonte Helga Block, Datenschutz-Beauftragte des Landes Nordrhein-Westfalen. Weil aber die Risiken von Datenlecks bei privaten Lehrer-Computern sehr groß seien, könnten die Schulleitungen gar nicht alle Sicherheitsaspekte überschauen – und dürften daher die Nutzung gar nicht genehmigen. Die GEW rät wiederum Lehrerinnen und Lehrern davon ab, die Genehmigung überhaupt zu beantragen, weil sie auch nicht sicherstellen könnten, alles richtig zu machen. Eigentlich gebe es nur einen Weg, den Datenschutz sicherzustellen: eine flächendeckende Ausstattung der Schulen mit Dienstrechnern.
Der Beitrag wird auch auf der Facebook-Seite von News4teachers diskutiert.
Solange Digitalisierung mit Ausstattung, aber nicht mit Administration, Sachverstand, Sicherheit gleichgesetzt wird, braucht man sich nicht zu wundern…