Website-Icon News4teachers

Hackerangriffe auf Schulen: Treiben Datenschützer die Bildungseinrichtungen (ungewollt) in die Hände von Cyber-Kriminellen?

KARLSRUHE. Datenschutzbeauftragte der Länder treiben Schulen in nicht-kommerzielle Open-Source-Systeme hinein, die häufig von kommunalen oder landeseigenen Betreibergesellschaften verwaltet werden – und damit ungewollt in die Fänge von Cyberkriminellen, die IT-Sicherheitslücken gnadenlos ausnutzen? Ein aktueller Fall legt diesen Verdacht nahe. Acht Schulen in Karlsruhe wurden Opfer von massiven Hackerangriffen.

Offensichtlich nehmen Hacker zunehmend deutsche Bildungseinrichtungen ins Visier. Illustration: Shutterstock

„Wir empfehlen dringend allen Schulen, rasch umzustellen. Sollten weitere Beschwerden bei uns eingehen, werden wir auch diesen nachgehen“ – so droht die Datenschutz-Aufsichtsbehörde Baden-Württemberg in ihrem jüngsten Tätigkeitsbericht. Gemeint ist: sich von Microsoft-Lösungen zu trennen. Dem Kultusministerium, der obersten Dienstaufsicht der Schulen, rät die Behörde laut einem Bericht von heise.de, die Bildungsstätten „mit Nachdruck auf diese Problematik hinzuweisen, um sie vor Schaden zu bewahren“.

„Diese Problematik“ – das sind angebliche Datenschutz-Mängel, die dem US-Konzern vorgeworfen werden. Im Prinzip geht der Streit darum, dass die Datenschützer von Microsoft verlangen, alle Datenströme (und damit sämtliche Betriebsinterna) preiszugeben. Mehr noch: Das Unternehmen soll beweisen, dass es den Datenschutz nicht missachtet – was praktisch unmöglich ist. Die Beteuerung von Microsoft, dass alle gesetzlichen Regelungen eingehalten werden, reicht den staatlich bestellten Juristen nicht aus. Auf Leistungsversprechen von Herstellern könnten öffentliche Stellen nicht einfach vertrauen, behauptet die Behörde (ein aktuelles anderslautendes Urteil missachtend, News4teachers berichtete).

Anzeige

Schon seit Jahren machen Landesdatenschutzbeauftragte (wie der aus Baden-Württemberg) Druck auf Bildungseinrichtungen, auf sogenannte Open-Source-Lösungen umzustellen, also auf Software, deren Quellcode – das ist in etwa das, was bei einem Haus der Bauplan ist – frei verfügbar ist (News4teachers berichtete mehrfach – hier etwa). Open Source Lösungen werden, ähnlich wie die Inhalte der Online-Bibliothek Wikipedia, unentgeltlich bereitgestellt. Sie werden dann von deutschen, oft kommunalen oder landeseigenen Unternehmen für den Bedarf von Schulen angepasst.

Aber: Treiben die Datenschutzbeauftragten die Schulen und Hochschulen mit ihren Datenschutz-Anforderungen ungewollt in die Hände von Cyberkriminellen? Eine Welle von Hacker-Angriffen auf Bildungseinrichtungen (News4teachers berichtete auch darüber), die mittlerweile eine Reihe von Schulen und Hochschulen betrifft, legt den Verdacht nahe.

„Die Hacker fordern 2,017303 Bitcoin je Schule ein. Bislang liegen den sieben nachweislich gehackten Schulen entsprechende Forderungen vor“

Aktueller Fall: Hacker haben acht Karlsruher Schulen angegriffen, um Lösegeld in Bitcoin zu erpressen. Daten seien verschlüsselt und Schadsoftware eingeschleust worden, teilte die Stadt am Montag mit. Die Server der konkret betroffenen Einrichtungen sowie die von 70 weiteren Schulen der Stadt, die noch Opfer werden könnten, wurden daraufhin vorsorglich vom Netz genommen. „Die Hacker fordern 2,017303 Bitcoin je Schule ein. Bislang liegen den sieben nachweislich gehackten Schulen entsprechende Forderungen vor“, erläuterte ein Stadtsprecher. Das wären nach aktuellem Währungskurs knapp 41.000 Euro pro Schule.

Lösegeld wird wohl kaum gezahlt werden. Das kann bedeuten, dass Lehrer- und Schülerdaten – womöglich auch sensible wie Noten oder Krankmeldungen – im Darknet veröffentlicht werden, wie es unlängst mit Daten der Universität Duisburg-Essen geschah.

Wie konnten Hacker die Schul-IT infiltrieren und lahmlegen? „Ein erster Verdacht wirft ein Schlaglicht auf ein heikles politisches Thema“, so berichten die „Badischen Neuesten Nachrichten“. Gemeint ist die schlechte Zusammenarbeit der staatlichen Dienstleister in punkto Datensicherheit für Schulen. Wie die Redaktion „aus gut informierten Quellen“ erfahren haben will, verfolgen Sachverständige derzeit eine Spur, nach der Angreifer für die Attacke eine bereits seit Jahren bekannte Sicherheitslücke in einer Komponente der Schulsoftware „paedML“ ausgenutzt haben könnten – die mittlerweile von 2.176 Schulen in Baden-Württemberg genutzt wird (nachdem Microsoft und die dazugehörigen Service-Partnerunternehmen weitgehend ausgebootet wurden).

„PaedML“ steht für „Pädagogische Musterlösung für schulische Computernetze“. Anbieter ist das Landesmedienzentrum Baden-Württemberg. Schulen können damit ihr Netzwerk einrichten und Daten von Schülern und Klassen verwalten, Lehrkräfte Schülergeräte wie Notebooks und Tablets steuern und überwachen. „Automatische Softwareverteilung, Firewall und Jugendschutzfilter sowie eine gesicherte Dateiablage sind ebenfalls zentrale Elemente der PaedML“, heißt es beim Landesmedienzentrum.

„Das Abrufen und Senden von Mails geht nicht, ebenso das Senden oder Herunterladen für den Unterricht“

„Es gab und gibt weder früher noch jetzt Sicherheitsprobleme bei der paedML“, so beteuert ein Sprecher dem Blatt gegenüber – betont aber auch, „dass die Wartung und Administration der IT-Infrastruktur von Schulen nicht in unsere Zuständigkeit als Anbieter der PaedML fällt“. Sicherheitsupdates seien den Schulen zur Verfügung gestellt worden. Aber nicht umgesetzt? Der Sprecher: „Die Betriebsverantwortung dafür liegt beim Schulträger.“ Die Stadt Karlsruhe wiederum hält sich bedeckt: Ihm lägen keine Informationen zu dem Thema vor, erklärt der Stadtsprecher gegenüber den „Badischen Neuesten Nachrichten“.

Verantwortungspingpong zwischen staatlichen Stellen, Leidtragende sind andere: Seit dem Cyber-Angriff müssen Schulleitungen, Lehrkräfte und Schüler in den Schulen ohne Internet auskommen. Die Anmeldungen fürs nächste Schuljahr seien gottseidank durch. Aber: „Das Abrufen und Senden von Mails geht nicht, ebenso das Senden oder Herunterladen für den Unterricht“, erklärt der Schulleiter eines betroffenen Gymnasiums gegenüber den “Badischen Neuesten Nachrichten”. So lasse sich auch der Online-Plan für Vertretungen nicht nutzen. „Das heißt für die Lehrer, dass sie nicht wissen, in welche Klasse sie müssen.“ Schüler können an Referaten nicht weiterarbeiten, die sie auf Schulrechnern abgespeichert haben, so heißt es in einer anderen Schule.

Ein weiterer Schulleiter sei froh über ein nostalgisch wirkendes Gerät in seiner Verwaltung, heißt es. Wichtige Unterlagen habe er am Montagvormittag fristgerecht auf den Weg gebracht – per Fax. Wann die Systeme wieder zur Verfügung stehen? Achselzucken bei der Stadt. Vor dem Hintergrund der noch laufenden Untersuchungen gebe es keinen Zeitplan zum Hochfahren der Server.

Wie steht es dagegen um die Datensicherheit von Microsoft-Kunden? Der Konzern teilt mit: „Microsoft ist im Bereich der Cybersecurity führend und hat eine Vielzahl technischer Maßnahmen implementiert, um Kundendaten vor Cyberattacken zu schützen. Hierzu gehören unter anderem Technologien zur Erkennung und Vereitelung von Attacken und
unberechtigten Datenzugriffen. Microsoft wird zwischen 2021 und 2025 20 Milliarden Dollar in Cybersecurity investieren.“ News4teachers / mit Material der dpa

Hintergrund: Cybersicherheit

Ist der Angriff auf die Schulen in Karlsruhe ein Einzelfall? Andersherum gefragt: Ist Open Source Software denn genauso sicher wie kommerzielle? „Ja“, so meint das Bundesamt für Sicherheit in der Informationstechnik – begründet das allerdings bemerkenswert blauäugig.

Nämlich so: „… weil viele Programmierer in aller Welt – man nennt sie ‘Community’ oder Entwickler-Gemeinschaft – die Möglichkeit haben, sich den Quelltext der Software anzusehen. So können sie mögliche Probleme rasch erkennen und gegebenenfalls sofort beheben. Denn: Viele Augen sehen viel! Die Entwickler sind normalerweise namentlich bekannt. Keiner von ihnen würde sich gerne nachsagen lassen, er habe schädliche Software programmiert. Bei Open Source Software gibt es zudem immer die Möglichkeit, Warnmeldungen ins Internet zu stellen, wenn Sicherheitslücken gefunden wurden. So existiert praktisch eine Art Frühwarnsystem, das dem Nutzer die Möglichkeit gibt, sich abzusichern. Ein weiterer Sicherheitsaspekt ist, dass Open Source Software bislang selten von Viren befallen wird. Das liegt natürlich zum einen daran, dass sie noch nicht so stark verbreitet ist, wie proprietäre Software, aber auch daran, dass sicheres Programmieren und Sicherheitsfunktionen im Bereich der Open Source Software traditionell einen hohen Stellenwert haben.“ (Hier geht’s zur Quelle.)

Tradition, guter Leumund und Schwarmintelligenz als Innovationstreiber im Kampf gegen Cyberkriminelle, die womöglich von Russland oder China aus operieren? Klingt nach Wunschdenken – und ist es offensichtlich auch. Eine aktuelle Studie des Cybersicherheitsunternehmens Snyk und der gemeinnützigen Linux Foundation – die die Verbreitung von Open Source fördern will –, stellt laut Branchendienst it-administrator.de fest, mit der zunehmenden Komplexität der Anwendungsentwicklung würden auch die Sicherheitsherausforderungen für die Entwicklungsteams immer komplexer.

Festgestellt wurden in der Praxis deshalb „erhebliche Sicherheitsrisiken, die sich aus dem verbreiteten Einsatz von Open-Source-Software (…) ergeben“ und auf die die Betriebe schlecht vorbereitet wären. Dem Bericht zufolge dauert beispielsweise die Behebung von Schwachstellen in Open-Source-Projekten mittlerweile fast 20 Prozent länger (18,75 Prozent) als in proprietären Projekten.

„Die Gefährdungslage im Cyber-Raum ist so hoch wie nie“: Wer schützt die Daten von Schülern, Eltern und Lehrern?

Die mobile Version verlassen