BERLIN. „Die Gefährdungslage im Cyber-Raum ist so hoch wie nie“, warnt aktuell das Bundesamt für Sicherheit in der Informationstechnik. Betroffen von Cyberkriminalität sind längst auch Schulen. Jüngster Fall: der Angriff auf das Medienzentrum München-Land, bei dem die Daten von 75 Schulen im Darknet verschwunden sind. Einige Datenschutzbeauftragte der Länder beschäftigen sich derweil lieber mit ihrem ideologischen Kampf gegen den US-Konzern Microsoft, dessen Produkte sie Schulen am liebsten verbieten lassen würden (was ihnen im ersten Bundesland auch schon gelungen ist) – treiben sie die Schulen damit Kriminellen in die Hände?
„Jetzt ist es passiert: Nach unzähligen gescheiterten Versuchen ist Hackern am vergangenen Donnerstag der Angriff auf einen Server des Landratsamts gelungen – einige Schulen kommen nun nicht mehr an persönliche Daten der Schulfamilie ran. Die Hacker haben Daten des Schulamts verschlüsselt und versteckt – und fordern jetzt Lösegeld. Wie hoch die Summe ist, bleibt unbekannt. Die Angreifer hatten das Landratsamt aufgefordert, im Darknet mit ihnen Kontakt aufzunehmen, um die Summe zu erfahren“, so berichtete der Münchner Merkur am 24. Oktober über eine Attacke auf das Medienzentrum München-Land. Insgesamt 75 Schulen sind davon betroffen.
Der Forderung ist das Landratsamt laut Bericht nicht nachgekommen. „Wir werden keinesfalls Lösegeld zahlen“, so hieß es bei der Pressestelle, „unser Fokus liegt darauf, gemeinsam mit den betroffenen Schulen die Daten anhand der hoffentlich dort vorhandenen Sicherungen wiederherzustellen.“ Konkret gehe es um Namen und Adressen von Schülern, Eltern und Lehrern sowie Daten zu Abläufen des Schulalltags, wie etwa Stundenpläne. Ergebnis: Die Daten sind weg – verschwunden in den Tiefen des Darknets.
„Ransomware-Angriffe, also Cyber-Angriffe mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich”
Betroffene Schulleitungen fühlen sich verschaukelt. Von Seiten des Medienzentrums habe es stets geheißen: „Wir sichern alles und Sie müssen sich um nichts kümmern“, so zitiert die „Süddeutsche Zeitung“ eine Schulleiterin. Ein weiterer Schulleiter bestätigte dem Blatt zufolge, dass das Medienzentrum zugesichert habe, dass die Daten sicher sind. Für diese Dienstleistung habe man auch gezahlt, sagt er. Nun fühlt er sich aber vom übergeordneten Landratsamt allein gelassen, wenn es heiße, es würde weder die Infrastruktur weiter zur Verfügung gestellt noch die Daten wiederhergestellt.
Datendiebstahl durch Kriminelle? Ist an Schulen kein Einzelfall. Im März legten Hacker die Schülerdatenverwaltung und den E-Mail-Verkehr an den Berufsbildenden Schulen Baßgeige im hessischen Goslar lahm. Für die Freigabe der Daten forderten sie 165.000 Euro. Gut 3.000 Datensätze von Schülerinnen und Schülern sowie ihren Eltern waren nach Angaben des Landkreises betroffen: Sie wurden verschlüsselt. Fachleute versuchten die Daten wiederherzustellen, zudem würden alle Rechner neu aufgesetzt, so der Landkreis. Wegen des Hacker-Angriffs ermittelte die Cybercrime-Einheit der Polizei in Braunschweig – bislang ohne Ergebnis.
Ebenfalls im März traf es die Berufsbildenden Schulen (BBS) Technik im niedersächsischen Cloppenburg. Dort verübten Hacker einen Angriff mittels einer so genannten Ransomware, wie die Polizei mitteilte. Dabei, so erklärte ein Sprecher, handele es sich um einen Verschlüsselungstrojaner, der es zum Ziel habe, vom Betreiber der befallenen Infrastruktur ein Lösegeld (englisch eben: Ransom) zu erpressen. Die Folge: Die BBS Technik mit ihren 2.500 Schülerinnen und Schülern kamen tagelang nicht mal mehr ins Internet. Und: Die gesamte digitale Infrastruktur musste neu aufgebaut werden, woran noch immer (Stand: 26. Oktober) gearbeitet wird.
„Die Gefährdungslage im Cyber-Raum ist so hoch wie nie“, meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst unlängst. „Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. So ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen, bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune (gemeint ist der Landkreis Anhalt Bitterfeld, d. Red.) der Katastrophenfall ausgerufen.“
Die Verwaltung von Anhalt-Bitterfeld, ein Landkreis mit 160.000 Einwohnern im Osten von Sachsen-Anhalt, war im Juli 2021 Opfer eines Ransomware-Angriffs geworden. Eine Hackergruppe hatte eine Schadsoftware in ihrem IT-System platziert, die in der Nacht auf den 6. Juli in Aktion trat, wie kommunal.de berichtet. Die Cybergangster verschlüsselten so das IT-System der Verwaltung und saugten 62 Megabyte personenrelevante Daten ab, von denen sie einige veröffentlichten. Sie forderten ein Lösegeld von umgerechnet 500.000 Euro in der Kryptowährung Monero. „Wir waren digital komplett out of order“, beschreibt Landrat Andy Grabner das Szenario. „Das Einzige, was noch funktionierte, war die Telefonanlage.“ Bis heute sind die Folgen in der Verwaltung spürbar.
“Es braucht professioneller Sicherungs- und Schutzmaßnahmen, um die Daten unserer Schüler und Schülerinnen und damit ihre Persönlichkeitsrechte zu schützen“
Die Gründe für die hohe Bedrohungslage seien, so das BSI, auf der einen Seite anhaltende Aktivitäten im Bereich der Cyber-Kriminalität sowie Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine, auf der anderen Seite aber auch „in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten“. Das wirft die Frage auf: Werden Schuldaten in Deutschland denn vernünftig geschützt?
Zweifel sind erlaubt. Die Datenschutzbeauftragten der Länder, die den Datenschutz an Schulen zu einem ihrer Lieblingsthemen erkoren haben, schweigen sich dazu bislang weitgehend aus. Kein Wunder: Ihr Fokus liegt woanders – nämlich insbesondere auf Microsoft. Die Beauftragten machen nämlich seit Jahren Stimmung gegen den Einsatz von US-Software im Bildungsbetrieb hierzulande. Kernargument: Es sei nicht gewährleistet, dass deutsche Schülerdaten in die Hände von US-Geheimdiensten gelangen. Dass das in der deutschen Schulpraxis nie eine Rolle gespielt hat (es gibt keinen einzigen dokumentierten Fall), focht die Landesdatenschutzbeauftragten bislang nicht an. „Um den Schutz des Grundrechts der informationellen Selbstbestimmung auszulösen, bedarf es keiner festgestellten Verletzung dieses Grundrechts, sondern die Möglichkeit (!) einer solchen Verletzung reicht bereits aus“, schrieb etwa der Thüringer Datenschutzbeauftragte Lutz Hasse in einem Post auf News4teachers.
In der Folge verbot das Bundesland Rheinland-Pfalz seinen Schulen (außer Berufsschulen) die Nutzung von Microsoft-Teams. Auch in anderen Bundesländern wächst der Druck auf Schulleitungen, landeseigene Schulportale und/oder sogenannte Open-Source-Software zu nutzen, die frei verfügbar ist. Schutz vor kriminellen Angriffen? Unklar.
Der Großkonzern Microsoft erklärt hingegen selbstbewusst: „Microsoft ist im Bereich der Cybersecurity führend und hat eine Vielzahl technischer Maßnahmen implementiert, um Kundendaten vor Cyberattacken zu schützen. Hierzu gehören unter anderem Technologien zur Erkennung und Vereitelung von Attacken und unberechtigten Datenzugriffen. Microsoft wird zwischen 2021 und 2025 20 Milliarden Dollar in Cybersecurity investieren.“ Zum Vergleich: In den Aufbau des NRW-Landesschulportals Logineo wurden bis 2019 rund 5,8 Millionen Euro investiert – wohlgemerkt: in die Entwicklung der gesamten Plattform.
Michael Schwägerl, Vorsitzender des bayerischen Philologenverbands, fordert Konsequenzen aus der Cyber-Attacke auf bayerische Schulen: „Der Angriff zeigt: Im Zeitalter einer umfassenden Vernetzung ist niemand und keine Institution sicher. Er zeigt aber auch, dass es professioneller Sicherungs- und Schutzmaßnahmen braucht, um die Daten unserer Schüler und Schülerinnen und damit ihre Persönlichkeitsrechte zu schützen.“ News4teachers