BERLIN. „Die Gefährdungslage im Cyber-Raum ist so hoch wie nie“, warnt aktuell das Bundesamt für Sicherheit in der Informationstechnik. Betroffen von Cyberkriminalität sind längst auch Schulen. Jüngster Fall: der Angriff auf das Medienzentrum München-Land, bei dem die Daten von 75 Schulen im Darknet verschwunden sind. Einige Datenschutzbeauftragte der Länder beschäftigen sich derweil lieber mit ihrem ideologischen Kampf gegen den US-Konzern Microsoft, dessen Produkte sie Schulen am liebsten verbieten lassen würden (was ihnen im ersten Bundesland auch schon gelungen ist) – treiben sie die Schulen damit Kriminellen in die Hände?
„Jetzt ist es passiert: Nach unzähligen gescheiterten Versuchen ist Hackern am vergangenen Donnerstag der Angriff auf einen Server des Landratsamts gelungen – einige Schulen kommen nun nicht mehr an persönliche Daten der Schulfamilie ran. Die Hacker haben Daten des Schulamts verschlüsselt und versteckt – und fordern jetzt Lösegeld. Wie hoch die Summe ist, bleibt unbekannt. Die Angreifer hatten das Landratsamt aufgefordert, im Darknet mit ihnen Kontakt aufzunehmen, um die Summe zu erfahren“, so berichtete der Münchner Merkur am 24. Oktober über eine Attacke auf das Medienzentrum München-Land. Insgesamt 75 Schulen sind davon betroffen.
Der Forderung ist das Landratsamt laut Bericht nicht nachgekommen. „Wir werden keinesfalls Lösegeld zahlen“, so hieß es bei der Pressestelle, „unser Fokus liegt darauf, gemeinsam mit den betroffenen Schulen die Daten anhand der hoffentlich dort vorhandenen Sicherungen wiederherzustellen.“ Konkret gehe es um Namen und Adressen von Schülern, Eltern und Lehrern sowie Daten zu Abläufen des Schulalltags, wie etwa Stundenpläne. Ergebnis: Die Daten sind weg – verschwunden in den Tiefen des Darknets.
„Ransomware-Angriffe, also Cyber-Angriffe mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich“
Betroffene Schulleitungen fühlen sich verschaukelt. Von Seiten des Medienzentrums habe es stets geheißen: „Wir sichern alles und Sie müssen sich um nichts kümmern“, so zitiert die „Süddeutsche Zeitung“ eine Schulleiterin. Ein weiterer Schulleiter bestätigte dem Blatt zufolge, dass das Medienzentrum zugesichert habe, dass die Daten sicher sind. Für diese Dienstleistung habe man auch gezahlt, sagt er. Nun fühlt er sich aber vom übergeordneten Landratsamt allein gelassen, wenn es heiße, es würde weder die Infrastruktur weiter zur Verfügung gestellt noch die Daten wiederhergestellt.
Datendiebstahl durch Kriminelle? Ist an Schulen kein Einzelfall. Im März legten Hacker die Schülerdatenverwaltung und den E-Mail-Verkehr an den Berufsbildenden Schulen Baßgeige im hessischen Goslar lahm. Für die Freigabe der Daten forderten sie 165.000 Euro. Gut 3.000 Datensätze von Schülerinnen und Schülern sowie ihren Eltern waren nach Angaben des Landkreises betroffen: Sie wurden verschlüsselt. Fachleute versuchten die Daten wiederherzustellen, zudem würden alle Rechner neu aufgesetzt, so der Landkreis. Wegen des Hacker-Angriffs ermittelte die Cybercrime-Einheit der Polizei in Braunschweig – bislang ohne Ergebnis.
Ebenfalls im März traf es die Berufsbildenden Schulen (BBS) Technik im niedersächsischen Cloppenburg. Dort verübten Hacker einen Angriff mittels einer so genannten Ransomware, wie die Polizei mitteilte. Dabei, so erklärte ein Sprecher, handele es sich um einen Verschlüsselungstrojaner, der es zum Ziel habe, vom Betreiber der befallenen Infrastruktur ein Lösegeld (englisch eben: Ransom) zu erpressen. Die Folge: Die BBS Technik mit ihren 2.500 Schülerinnen und Schülern kamen tagelang nicht mal mehr ins Internet. Und: Die gesamte digitale Infrastruktur musste neu aufgebaut werden, woran noch immer (Stand: 26. Oktober) gearbeitet wird.
„Die Gefährdungslage im Cyber-Raum ist so hoch wie nie“, meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst unlängst. „Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. So ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen, bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune (gemeint ist der Landkreis Anhalt Bitterfeld, d. Red.) der Katastrophenfall ausgerufen.“
Die Verwaltung von Anhalt-Bitterfeld, ein Landkreis mit 160.000 Einwohnern im Osten von Sachsen-Anhalt, war im Juli 2021 Opfer eines Ransomware-Angriffs geworden. Eine Hackergruppe hatte eine Schadsoftware in ihrem IT-System platziert, die in der Nacht auf den 6. Juli in Aktion trat, wie kommunal.de berichtet. Die Cybergangster verschlüsselten so das IT-System der Verwaltung und saugten 62 Megabyte personenrelevante Daten ab, von denen sie einige veröffentlichten. Sie forderten ein Lösegeld von umgerechnet 500.000 Euro in der Kryptowährung Monero. „Wir waren digital komplett out of order“, beschreibt Landrat Andy Grabner das Szenario. „Das Einzige, was noch funktionierte, war die Telefonanlage.“ Bis heute sind die Folgen in der Verwaltung spürbar.
„Es braucht professioneller Sicherungs- und Schutzmaßnahmen, um die Daten unserer Schüler und Schülerinnen und damit ihre Persönlichkeitsrechte zu schützen“
Die Gründe für die hohe Bedrohungslage seien, so das BSI, auf der einen Seite anhaltende Aktivitäten im Bereich der Cyber-Kriminalität sowie Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine, auf der anderen Seite aber auch „in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten“. Das wirft die Frage auf: Werden Schuldaten in Deutschland denn vernünftig geschützt?
Zweifel sind erlaubt. Die Datenschutzbeauftragten der Länder, die den Datenschutz an Schulen zu einem ihrer Lieblingsthemen erkoren haben, schweigen sich dazu bislang weitgehend aus. Kein Wunder: Ihr Fokus liegt woanders – nämlich insbesondere auf Microsoft. Die Beauftragten machen nämlich seit Jahren Stimmung gegen den Einsatz von US-Software im Bildungsbetrieb hierzulande. Kernargument: Es sei nicht gewährleistet, dass deutsche Schülerdaten in die Hände von US-Geheimdiensten gelangen. Dass das in der deutschen Schulpraxis nie eine Rolle gespielt hat (es gibt keinen einzigen dokumentierten Fall), focht die Landesdatenschutzbeauftragten bislang nicht an. „Um den Schutz des Grundrechts der informationellen Selbstbestimmung auszulösen, bedarf es keiner festgestellten Verletzung dieses Grundrechts, sondern die Möglichkeit (!) einer solchen Verletzung reicht bereits aus“, schrieb etwa der Thüringer Datenschutzbeauftragte Lutz Hasse in einem Post auf News4teachers.
In der Folge verbot das Bundesland Rheinland-Pfalz seinen Schulen (außer Berufsschulen) die Nutzung von Microsoft-Teams. Auch in anderen Bundesländern wächst der Druck auf Schulleitungen, landeseigene Schulportale und/oder sogenannte Open-Source-Software zu nutzen, die frei verfügbar ist. Schutz vor kriminellen Angriffen? Unklar.
Der Großkonzern Microsoft erklärt hingegen selbstbewusst: „Microsoft ist im Bereich der Cybersecurity führend und hat eine Vielzahl technischer Maßnahmen implementiert, um Kundendaten vor Cyberattacken zu schützen. Hierzu gehören unter anderem Technologien zur Erkennung und Vereitelung von Attacken und unberechtigten Datenzugriffen. Microsoft wird zwischen 2021 und 2025 20 Milliarden Dollar in Cybersecurity investieren.“ Zum Vergleich: In den Aufbau des NRW-Landesschulportals Logineo wurden bis 2019 rund 5,8 Millionen Euro investiert – wohlgemerkt: in die Entwicklung der gesamten Plattform.
Michael Schwägerl, Vorsitzender des bayerischen Philologenverbands, fordert Konsequenzen aus der Cyber-Attacke auf bayerische Schulen: „Der Angriff zeigt: Im Zeitalter einer umfassenden Vernetzung ist niemand und keine Institution sicher. Er zeigt aber auch, dass es professioneller Sicherungs- und Schutzmaßnahmen braucht, um die Daten unserer Schüler und Schülerinnen und damit ihre Persönlichkeitsrechte zu schützen.“ News4teachers
Die Sache ist doch ganz einfach. Natürlich ist dafür die Schulleitung verantwortlich. Wofür genau? Ja für alles halt.
Internet- und Datensicherheit sind ein schwieriges Geschäft. Selbst bei Weltfirmen kam es bereits zu Vorfällen wie Datenklau, Erpressung und illegalem Verkauf sensibler Daten. Vor diesem Hintergrund sollte man auch die fortschreitende Verlagerung von Schuldaten in den digitalen Raum sehen. Sind digitale Klassenbücher wirklich notwendig? Müssen sensible Schuldaten wie Zensurenlisten, Adressen und Zeugnisprogramme unbedingt auf Computern abgelegt werden, die Netzzugang haben oder sogar Daten in der Cloud auslagern? All dies wird doch nur eingerichtet, damit tolle Statistiken auf Knopfdruck abrufbar sind und die Schulleitung jederzeit ohne größeren Zeitaufwand ihrer Kontrollverpflichtung nachkommen kann.
Digitale Industriespionage! Viel bequemer.
Mich wundert, dass sich darüber gewundert wird.
Bei uns dürfen Schülerdaten nur noch auf dem (unnützen, weil nur bestimmte Programme erlaubt sind) Dienstgerät verwendet werden.
Keine Schülerdaten auf dem Privatgerät, keine Messengerdienste (viele Eltern und Schülys sind n ubr über WA erreichbar und gehen uns entweder verloren oder wir kriegen eine Abmahnung, Dienstaufsichtsbeschwerde oder sonst was Gruseliges, weil wir uns um unsere Schülys kümmern… Pest oder Cholera? Das wird hier die Frage!) – alles vom Privatgerät gelöscht.
Zeignisse durften ohnehin nur auf bestimmten Geräten in der Schule erstellt werden – keines davon am Netz.
Keine Noten über itslearning als Zwischenstand, keine Noten oder Zwischenstände oder (Lern)verhalten der Schülys über die Dienst-E-Mail, da die andere Seite (Eltern) nicht gesichert ist.
Bei uns heißt das: Kommunikationssperre, weil wir viele Eltern einfach nicht erreichen oder Telefonate ausschließlich am Wochenende zu führen – Geräte aber nicht abhörsicher.
Ein „Hurra“ auf die Digitalisierung!
Wahrheit und Ironie schließen sich nicht aus 😉
Aber die Digitalisierung in jeder Form und auch die Vernetzung mit WLAN ist doch ein ganz großer Fortschritt. Das Prinzip ist: Alles wird erstmal eingeführt, über die Probleme damit denken wir später nach. 🙂
Was geschieht eigentlich mit den Cookie-Daten, auf die so viele Unternehmen und auch Behörden neuerdings so viel Wert legen? Dass das nur dem optimalen Nutzererlebnis dient, dieses Märchen glaubt ja wohl niemand. Wer garantiert denn, dass nicht auch damit Missbrauch getrieben wird? Und wozu brauchen wir Cookies? Könnte es sein, dass wir alle auch ohne auskämen? Merkwürdigerweise kann man auf manchen Seiten „alles ablehnen“. Wenn man früher mal in irgendeinem Buch oder einer Schrift blätterte, musste man ja auch nicht Namen und Adresse hinterlassen. Neuerdings hinterlässt man überall elektronische Spuren, vermutlich auch in Schulen, wenn die Lernfortschritte von der Lehrerkonsole aus überwacht werden. Alles könnte letztlich in einer elektr. Schülerakte landen, die irgendwann später mal an einen Arbeitgeber übermittelt wird. Wehret den Anfängen!
„wenn die Lernfortschritte von der Lehrerkonsole aus überwacht werden.“
genau für diese Zwecke ist die „Lernsoftware“ auch gemacht.
Allerdings sind die wenigsten „Softwareaufspieler und Einrichter“ in der Lage, den vollinhaltlichen Umfang der aufgezeichneten Daten schon aus Unkenntnis heraus abzurufen und auszuwerten (Analysetools).
Empfehle den Zweiflern einfach mal aktuell in den Google-Einstellungen und z. B. Speicherung von Daten für „XY“ nachzuschauen …
Klar – endlich sind wir dem „gläsernen Menschen“ so viel näher!
Was passiert mit den Lernbegleitungsverläufen der Schülys? Weiterleitung an’s Ministerium für Unfug, Unsinn und Undurchdachtes?
Ich glaube, es wird allerhöchste Zeit, sich darüber Gedanken zu machen.
Ich glaube, man muss da die Verantwortung der Schulleitungen und LuL ganz deutlich „stärken“, weil die wissen ja am allerbesten bla …
Cyber-Gefährdungslage an Schulen – Blödsinn, zumindest solange nicht, wie Personen welche im Schulnetz aktiv sind nicht einmal eine Einwilligung zur Nutzungsvereinbarung unterschreiben müssen. Unregistrierte und ungeprüfte Privatgeräte können den Zugang nutzen und auch mit unbekannter und vielleicht unregistrierter Software oder Schadsoftware behafterer Apps weiterhin freien Zugang genießen können.
Konsequenzen wird es erst dann geben, wenn die Verantwortlichen auch ernsthaft zur Verantwortung gezogen werden könnten. Landesdatenschutzbeauftragte werden nie und nimmer ein Bußgeld für Verfehlungen verhängen können, solange diese Zahlung nur von einem öffentlichen Topf zu einem anderen wandern würde, statt den Verantwortlichen höchstselbst für die Verfehlungenoder Unterlassungen auch mangels besserem Wissen nach Datenschutzgesetzen heranzuziehen.
Gelegenheit macht Cyber-Diebe.
Ein hoher Anteil (Insider schätzen rund 80%) der erfolgreichen Ransomware-Angriffe geschieht auf diversen Wegen über Microsoftprodukte; seien es Clouddienste, Officeprodukte oder Phishing-Attacken über unzulänglich gehärtete Mail- oder Messenger-Pprodukte. Insofern ist das kritische Hinterfragen von Software, insbesondere vom größten Anbieter, schon richtig. Je größer der Hirsch, desto attraktiver und größer die Angriffsfläche. Da ist der mangelhafte Schutz personenbezogener Daten in den USA trauriger Weise schon fast Nebensache.
In diesem „Bericht“ gibt es erhebliche inhaltliche Mängel – und ich halte ihn für tendenziös und mit der Absicht geschrieben, das – für manche Microsoft-Liebhaber ärgerliche – Datenschutzgebot, insbesondere an Schulen und das damit verbundene Verbot von bestimmter MS-Software dort zu hinterfragen.
Denn leider erwähnt dieser doch recht lange Artikel NICHT, dass die Ursache des Angriffs – längst bekannt – überhaupt GAR NICHTS mit PaedML zu tun hat!
Der Angriff erfolgte über eine bereits viele Monate alte Sicherheitslücke in der kommerziellen Virtualisierungslösung VMware, für die schon – ebenfalls viele Monate – ein Patch exisitiert, der leider nicht eingespielt wurde. Wenn man eine virtuelle Maschine als Admin übernimmt, ist darin so gut wie nichts mehr sicher, sei es, was es wolle!
Hätte ein Administrator // ein Dienstleister // die Kommune – wer auch immer ! – seinen normalen Job gemacht, wäre das schlicht nicht passiert.
Und bevor man jetzt mit Fingern auf Schulleiter, Behörden, Kommunen, Dienstleister… zeigt: Wer da weswegen seine Pflicht (?) nicht tat, ist nicht klar. Es kann auch ein „geiziger“ Vertrag mit dem DL gewesen sein, bei dem die Wartungsaufgaben nicht klar formuliert waren etc.
Dass dieser Artikel hier zunächst mit dem Datenschutz beginnt, um dann zum „Fall“ zu kommen, ist kein guter Journalismus, sondern tendenziöse Meinungsmache.
Christoph Günschmann
Gymnasium Rheindahlen, NRW
Eine Sache ist erstmal Grundlegend falsch. Opensource wird nicht zwingend Unendgeltlich entwickelt. Sieh Bitwarden, Firefox und Thunderbird. Auch ist Opensource nicht weniger sicher, weil der Code einsehbar ist. Da ist eher das Gegenteil der Fall.Allerdings kommen auch diese großen Opensource Anbieter natürlich nicht unbedingt an die Reaktionsgeschwindigkeit eines riesigen Softwareentwicklers wie Microsoft heran.