Ein Schüler muss nach einem Hacker-Angriff auf Daten eines Berliner Gymnasiums die Schule verlassen. Das hat das Verwaltungsgericht Berlin entschieden und damit im Eilverfahren eine Entscheidung der Senatsbildungsverwaltung bestätigt, wie ein Sprecher mitteilte. (Az.: VG 3 L 610.24)
Die Maßnahme ist aus Sicht des Gerichts verhältnismäßig, obwohl der Betroffene im letzten Schuljahr vor dem Abitur ist und erste Abiturprüfungen bereits in wenigen Monaten anstehen. Der Schüler sei völlig uneinsichtig gewesen, nannten die Richter als einen Grund. Gegen den Beschluss kann Beschwerde beim Oberverwaltungsgericht Berlin-Brandenburg erhoben werden.
Die schwerste Ordnungsmaßnahme des Berliner Schulgesetzes ist aus Sicht der Richter in dem Fall angemessen
Nach Angaben des Gerichts hat der Oberstufenschüler zusammen mit zwei Mitschülern einen Schulrechner so präpariert, dass das nächste eingegebene Passwort protokolliert wurde. So erlangte das Trio das Administratorpasswort, um im Anschluss einen «Keylogger» zu installieren, der das Protokollieren aller eingegebenen Passwörter ermöglichte. Dadurch konnten die Schüler laut Gericht interne Informationen im geschützten Lehrerkanal mitlesen und organisatorische Daten der Schulleitung abrufen.
Nachdem die Sache aufgeflogen war, beschloss die Senatsbildungsverwaltung als Schulaufsicht, den Gymnasiasten in eine andere Schule zu überweisen. Dagegen wehrte sich der junge Mann vor Gericht – ohne Erfolg. Die schwerste Ordnungsmaßnahme des Berliner Schulgesetzes ist aus Sicht der Richter in dem Fall angemessen.
Denn: Das Vorgehen des Antragstellers stelle sich als schweres Fehlverhalten dar. Ein über Monate dauerndes Ausspionieren des Datenbestandes der Schule beeinträchtige die ordnungsgemäße Unterrichts- und Erziehungsarbeit. Der Antragsteller sei mit krimineller Energie vorgegangen, weshalb das schulische Vertrauen in die Integrität des Antragstellers nachhaltig und irreparabel zerstört worden sei.
Angesichts der Schwere des Fehlverhaltens des Antragstellers mit einer mehrere Monate währenden Verletzung der Datenschutzbelange und der Privatsphäre von Lehrkräften und der Schülerschaft habe die Schule den Schulwechsel auch nicht – wie das Gesetz dies im Regelfall vorschreibe – zuvor schriftlich androhen müssen. News4teachers / mit Material der dpa
Cyberangriff auf Schulen: Hacker erbeuten persönliche Daten (von Schülern und Lehrern?)
Was ist denn der “Lehrerkanal”? – Ein eigener Abfluss an den Toiletten zur Fäkalientrennung? Ein Remake des legendären “schwarzen Kanals”? Oder eine Videoreihe auf Youtube? – Ich bin ratlos.
Tränenkanal… 🙂
Z.B. ein schulinternes Chatsystem. Haben wir auch und sorgt dafür, dass wir Kleinigkeiten halt nicht verbotenerweise auf WhatsApp klären. Aber klar werden da auch Sachen besprochen wie Leistungsnachweise und Ordnungsmaßnahmen
Ok, danke. Also wieder etwas lokal Entwickeltes, was dadurch natürlich besonders sicher ist. Keine 2-Faktor-Authentifizierung oder eine Benachrichtigung bei auffälligen Aktivitäten, z.B. das Einloggen auf einem unbekannten Gerät.
Mal wieder alles richtig gemacht.
Wieso bewerten Sie die Konsequenzen für die Oberstufenschüler als “hart”? Der Weg zur Reifeprüfung bleibt ihnen doch offen.
Da Schulen keine rechtsfreien Räume sind, hat die Schulleitung hoffentlich einen Strafantrag nach §§ 202a, 202b StGB gestellt (Ausspähen bzw. Abfangen von Daten):.
32 grüne Daumen in 3 Tagen, aber
interessanter wäre da doch:
Warum könnte man schulseitig auf Strafantrag verzichtet haben:
… vieles ist da denkbar.
Die konnten auf jeden Fall mehr als „Wischen“ und „Klicken“.
Immerhin!
Nicht wirklich. Die Keylogger und andere Software lädt man sich mit genauen Anleitungen runter. Das erfordert kein Können. Es wird medial nur immer völlig falsch dargestellt wie “hacken” abläuft und die meisten haben zu wenig Ahnung.
Mit den IT-Kenntnissen – gepaart mit entsprechender krimineller Energie – sollte er nach bestandenem Abitur einen Anstellungsvertrag mit dem BND anstreben.
Da wäre er sehr gut aufgehoben.
Da soll nochmal jemand sagen, unsere GenZ hätten keine Ziele und keinen Antrieb.
Jobangebot der neugegründeten Task Force gegen Cyberkriminalität ist raus….
Andererseits hätte man dem Schüler auch eine Ehrung erteilen können für das Aufdecken der Sicherheitslücke. Zugegebenermaßen hat er dafür aber zu lange mitgelesen.
Das habe ich meinen Fachinformatikern immer so erklärt:
Es dürfte klar sein, welcher der beiden Fälle hier vorliegt.
Was mich an so einem Fall besonders wundert, ist dass man noch darauf beharren kann, an der Schule zu bleiben. Bei allem Verständnis für jugendlichen Leichtsinn, da war doch erhebliche kriminelle Energie vorhanden. Wieso kann man in so einem Fall nicht einfach die Verantwortung für das eigene Handeln übernehmen und geräuschlos gehen? Meine Eltern hätten nach einer solchen Handlung von mir erwartet, dass ich mich mündlich und schriftlich entschuldige und die (verdiente) Strafe akzeptiere, und das zurecht.
Ja, meine auch,
da ist anscheinend inzwischen etwas passiert 🙁
): inzwischen klagen die Eltern oder Jugendlichen mit deren Unterstützung
und später werden sie durch eben diese entmündigt – ( nur teils satirisch gemeint )
Eine unvoreingenommene Behandlung und Bewertung des Schülers seitens der Lehrkräfte ist doch angesichts seiner kriminellen Handlungen einhergehend mit dem Vertrauensmissbrauch nicht mehr möglich. Es kann gar keine andere Strafe geben, sie ist damit auch nicht “hart”.
Ein Trio war’s und einer fliegt im gerichtlichen Eilverfahren.
Administrator änderte möglicherweise viele Monate scheinbar sein (und andere) Zugangspasswort nicht und somit wurde ermöglicht u. a. organisatorische Daten der SL auszulesen.
Firmen zahlen für derartige Angriffe auf die eigene Unternehmens-IT sogar noch Geld um damit Schwachstellen in der Sicherheit aufzudecken.
Artikel nicht gelesen? Da wurde auch ein Trojaner installiert, da können Sie das Passwort jede Minute ändern, wird nichts nützen.
Wenn Sie so begeistert von dieser Person sind, stellen Sie diese doch in Ihrer Firma als Azubi ein und lassen Sie ihn sich dort austoben…
Wenn ich die mit Freistellungsstunden als “Fachleute” der IT an Schulen sogenannte “Admins” so beobachte wird mir einfach nur eins, deutlich übel.
Wie kommt so ein böser Trojaner in den PC? Etwa mittels Datenträger vielleicht? Bei logischer Denke wäre da schon die erste Schwachstelle gewesen …
Zwei Faktor Authentifizierung hätte das alles verhindert. Auch eine gute Systemüberwachung, die Unregelmäßigkeiten meldet.
Die “Admins” oder Lehrer haben auf sowas aber leider keinen Einfluss. Die sind die letzten in der Kette, die den Mist am Laufen halten müssen.
Beschlossen wird der von deutlich höher dotierten “Fachkräften” und umgesetzt von schlecht bezahlten Programmieren. Wer arbeitet sonst als ITler im Öffentlichen Dienst? Falls das an externe Firmen ausgelagert wird, werden die so schlecht bezahlt, dass da einfach nix rauskommen kann. Es darf halt alles nichts kosten.
Datenträger müssen leider sein, da es keine offizielle Cloud gibt, die unser Dienstherr zur Verfügung stellt.
Hätte es nicht. Die SuS haben einen keylogger installiert, der liest alle Eingaben mit.
Ähm, zweiter Faktor – Pin immer neu von Stick generiert? Meldung bei Unregelmäßigkeiten, wie Einloggen von unbekanntem Rechner?
Sie verwenden noch Sticks im der Schule? Bei uns streng verboten, die Ports sind für Sticks gesperrt.
Vom fremden Rechner einloggen? In der Schule? Was genau meinen Sie? Von daheim aus kann man bei uns nicht aufs Schulnetzwerk zugreifen.
Für eine vernünftige ZweiFaktorAuthorisierung müsste man uns ja Diensthandys stellen – NoWay.
Ich finds immer einfach, auf die IT einzudreschen anstatt mal zu schauen, was mit den den Schulen zur Verfügung stehenden Mitteln realistisch umzusetzen ist.
Die Sticks werden nicht eingesteckt. Sie generieren auf Knopfdruck einen Code, der zusammen mit einem persönlichen Schlüssel und dem Passwort eingegeben wird. Der Code wird alle 2 Minuten geändert.
Und wie erfahren Sie den generierten Code, wenn man den Stick nirgendwo reinstecken kann, um den Code anzuzeigen? Sprechen wir über USB-Sticks?
Oder sprechen Sie von einem TAN-Generator? Da braucht’s dann aber auch ein Gerät für, was der AG bereit stellen müsste…
Klar ist eine vernünftige 2FaktorAuthentifizierung sinnvoll, aber dann muss der AG auch die zur Verfügung stellen, und daran hapert es eben.
Ist das etwa reine Fachsimpelei unter IT-Fachlehrkräften?
@Mika: “Ich verrate Ihnen jetzt mal ein Geheimnis: ich bin sogar LEHRER u.a. für Informatik. …”
https://www.news4teachers.de/2024/11/digitalpakt-2-0-kurzzeit-bildungsminister-oezdemir-macht-den-schulen-hoffnung/#comment-642878
Wie konnte ich so dreist sein und mich äußern mit “deutlich übel”?
“Oder sprechen Sie von einem TAN-Generator?”
Natürlich kein(!) USB Stick, sondern ein Generatorstick (mit Display). Gibt es bei uns in der Schulverwaltung nach den letzten Hacks. Da greift die Angst um sich.
“Klar ist eine vernünftige 2FaktorAuthentifizierung sinnvoll, aber dann muss der AG auch die zur Verfügung stellen”
Das schreibe ich doch die ganze Zeit. Der einzelne Admin in der Schule kann da nichts machen. Wer heutzutage noch eine Plattform ohne bereitstellt handelt meiner Meinung nach grob fahrlässig.
Dann sind wir uns absolut einig.
Doch, wenn man eine Zwei Faktor Authentifizierung hat schon, dann müssten die Angreifer auch noch Zugriff auf das Handy oder den DienstiPad haben. Beim Online Banking muss ich zumindest ein neues unbekanntes Gerät mit dem Handy bestätigen.
Wenn ich ein personalisiertes funktionales Dienstgerät habe, geht ZweiFaktorAuthorisierung. Das allerdings ist noch kein Standard.
Und wie kam der keylogger wohl zur erstmaligen Anwendung?
Tippe auf das Kabel vom WLAN (Ironie!)
“Die “Admins” oder Lehrer haben auf sowas aber leider keinen Einfluss. Die sind die letzten in der Kette, die den Mist am Laufen halten müssen.”
Völlig richtig. Und da die Anrechnungsstunden für diese Tätigkeiten bei weitem nicht ausreichen, sollte sich jeder von dieser Aufgabe fernhalten.Ganz weit fernhalten!
Insbesondere, wenn man dann solche Kommentare wie von “Kritischer Dad@NRW” lesen muss.
Wenn diese ganzen “Idealisten-Admins” einfach die Arbeit einstellen würden, könnte auch niemand mehr mit schlauen Sprüchen kommen, wie man alles besser machen könnte… dann gibt’s halt keine IT mehr an Schulen, nur noch Tafel und Kreide. Wie frühe. Ging auch.
@Realist
“Insbesondere, wenn man dann solche Kommentare wie von “Kritischer Dad@NRW” lesen muss.”
Einen Lesezwang mit Aufruf von News4teachers.de habe ich an keiner Stelle feststellen können.
Schlechte Systemwartung odeer nachlässuge Zugangskontrollen sind unzweifelhaft gefährlich.
Diese Drohne meldet: Wurde umgesetzt.
Ausserdem sage ich bei allen Fragen dazu nur noch, dass ich darüber nix so richtig wissen tue.
Tröt-Düdel-Piep, Problem gelöst.
@Realist
“Artikel nicht gelesen? Da wurde auch ein Trojaner installiert”
Sie haben es doch selbst erkannt: “installiert”- und dies geschah zuallererst und danach wurde alles weitere ermöglicht.
Die Schwachstelle könnte wohl die Freigabe von Datenträgern gewesen sein.
So installieren Sie Programme von einem Datenträger unter Windows 10
Keylogger: DefinitionKeylogger sind Programme, die als Hintergrundprozess auf einem Computer oder anderen Gerät laufen und die Tastatureingaben des Nutzers aufzeichnen. Keylogging kann mit böswilligen oder guten Intentionen eingesetzt werden, je nachdem, welche Ziele die Person verfolgt, die den Keylogger installiert. Keylogger sind jedoch berühmt dafür, mit bösen Absichten eingesetzt zu werden, um die Zugangsdaten der Zielpersonen und andere wichtige Informationen herauszufinden. Eine andere Einsatzmöglichkeit ist die elterliche Kontrolle und Sicherheit von Kindern. Quelle
Programme
In der Informatik ist ein Programm ein bestimmter Satz von geordneten Operationen, die ein Computer ausführen soll.
Jede Anwendung ist ein Programm, aber ein Programm ist nicht unbedingt eine Anwendung.
Nochmal @Kritischer Dad@NRW”:
Arikel nicht gelesen?
“Nach Angaben des Gerichts hat der Oberstufenschüler zusammen mit zwei Mitschülern einen Schulrechner so präpariert, dass das nächste eingegebene Passwort protokolliert wurde. So erlangte das Trio das Administratorpasswort, um im Anschluss einen «Keylogger» zu installieren, der das Protokollieren aller eingegebenen Passwörter ermöglichte.”
Für den ersten Schritt brauchen Sie keine Admin-Rechte…
Ich hoffe wirklich, dass Sie in der “freien” WIirtschaft nirgendwo verantwortlich für IT-Sicherheit tätig sind…
Stimmt Admins sind schuld. Gut, dass wir so kritische Eltern haben. Unfassbar!
Ja genau und zwar wegen Nachlässigkeit oder genauso schlimm wäre mangels Kenntnis.
Freigeben oder Sperren von Wechseldatenträgern
Durch die Funktion Freigeben oder Sperren von Wechseldatenträgern können die Lehrkräfte verhindern, dass Schüler USB-Sticks, während des Unterrichts verwenden. Sofern die Sicherung von Daten auf USB-Sticks erwünscht ist, gibt die Lehrkraft die Nutzung einfach frei.
https://www.schuladmin.de/
Als Elternteil gebe ich diesen Hinweis sogar kostenfrei ab!
Niemand sollte je Sticks für irgendwen in Schulnetzwerken freigeben…
Als Lehrer gebe ich diesen Tipp kostenfrei ab.
Ja, aber Hacker, die Schwachstellen suchen, lesen dann nicht monatelang Informationen mit, die nicht für sie bestimmt sind – sondern sagen, welche Schwächen es gibt…
Gab es dann wohl Schwachstellen im Unterricht, denn ein ethischer Hacker war er dem Bericht nach scheinbar nicht.
Das wirklich Schlimme an der Geschichte ist, dass der junge Mann offensichtlich keinerlei Einsicht zeigt. Ich hoffe, der Richter in Strafprozess macht mehr Eindruck
Schätze mal, dass die LuL Passwörter hatten alá Passwort1, 12345, etc. Die kann man ja leicht knacken mit einer Rainbow-Table (Anm. eine Tabelle, wo viele gängigen Passwörter gespeichert sind.)
Ich frage mich, woher sie ihre Zuversicht nehmen, bezüglich der Passwörter. Der Vorgang, der zum Auslesen der Passwörter führte, ist ja im Text beschrieben und da war nicht von einer Rainbow-Table die rede. Einfach noch einmal lesen.
Und wie in aller Welt konnte ein Einfgabegerät durch diesen Schüler mit der Ausführungsdatei gefüttert werden?
Gute Frage, aber aus dem Artikel geht nicht heraus, dass es an simplen Passwörtern gelegen hat.
Mag sein, dass die erste Möglichkeit, ein simples Passwort nicht gegeben war, das trifft zu.
Der Zugang zu einem Gerät, wo dann der Keylogger (Programm) einfach installiert werden konnte, war aber zweifelsfrei möglich. Vielleicht nicht ordnungsgemäß abgemeldet, Spickzettelchen mit Passwort gefunden usw. und so war die Installation schon ermöglicht.
Ein Auslesen der Passwörter ist erst nach Keylogger-Installation möglich geworden.
Bei einem Keylogger kann ihr Passwort auch aus 300 Sonderzeichen bestehen…ändert nix.
Die Passwörter mussten nicht geknackt werden. Die Schüler haben einen Keylogger verwendet.
Stimmt.
Zumindest ab dem zweiten und jedem weiteren Log-in.
Bleibt dann nur klärungsbedürftig wie das erste Log-In ohne keylogger möglich wurde …
Ein IT – Talent ! Geht er zu SAP, übernimmt er gleich den Informatikunterricht, wird er mit dem PENTAGON – Computer wie in “WarGames” (1983) spielen ? Unendliche Möglichkeiten.
JOSHUA: Do you want to play?
David weiß aber auch ganz genau, wo das Passwort für die Notenerfassung ist 🙂
🙂
1983 der geniale Stephen Falken.
Das digitale Klassenbuch ist doch die Eintrittskarte ins große Kino Schulnetz der gar ins Verwaltungsnetz.
Meist steht im Klassenzimmer ein PC oder ein Laptop (bei uns nicht, wir haben die Version mit Schlepp-top: jeder schleppt sein Gerät mit herum).
Keygrabber eingesteckt. Ausgelesen. Fertig.
Alles keine Kunst. Einem Kollegen ist ein unberechtigter Zugriff mal dadurch aufgefallen, dass die Fehltage eines Schülers weniger wurden. Der Schüler hatte seine eigenen Fehltage frisiert. Selten dämlich, aber einen Versuch wert.
Bis die Obrigkeit im Kultusministerium die möglichen Gegenmaßnahmen verstanden hat _und_ deren Notwendigkeit einsieht, vergehen Jahre. Dann kommt noch der Datenschützer und die Sache ist gelaufen.
https://german.opswat.com/products/metadefender/endpoint-security-sdk/anti-keylogger
Ist nur ein Anbieter, es gibt noch andere.
Man müsste (Phrasendresch) halt mal jemand beauftragen, der sich mit IT auskennt.
Was passiert am Ende? Netzwerk-Admin-Anrechnungsstunden werden von Frau Schöpper noch gekürzt, was man so hört.
https://lehrerfortbildung-bw.de/st_digital/netz/it-personal/fb1/rp/
Der Erlass für die Netzwerk-Admins stammt aus dem Jahr 1998.
2019 gab es immerhin ein Update:
https://www.lmz-bw.de/fileadmin/user_upload/Downloads/Handouts/Multimediaempfehlungen/2019_08_15-Digitalisierungshinweise.pdf
Die “Schulseite” liegt in Sachen IT auch weit zurück, viel mehr als “wischen” und “klicken” ist da auch nicht. Erst mal akzeptieren, das IT auch Wartung braucht und dann weiter daran arbeiten.
Den Schüler nicht der Schule verweisen sondern als IT-Berater einstellen.
Bin verwundert, dass ein Insider doch recht kritisch hier berichtet.
Wir haben es auf einem Kennwortgeschützen (Dienst)iPad. Das ist beim digitalen Klassenbuch sicherer als beim Analogen, da lagen die Klassenbücher offen und für jeden Zugänglich auf dem Pult.
Offen bleibt, ob und welche Konsequenzen es für die beiden Beteiligten gab. Interessieren würde mich auch, wie die Spionage aufgeflogen ist.
Richtige Entscheidung.
Da kann sich der Staat ja wieder auf die Schulter klopfen. Ein vielversprechendes IT-Talent zu einem Leben als Sozialhilfeempfänger verurteilt.
Und würde das auch für jemanden gelten, der irgendwo Türen aufbricht? Eine vielversprechende Karriere als Schlüsseldienst-Unternehmer verbaut?
Oder jemanden, der andere verprügelt? Eine vielversprechende Karriere als Boxer verbaut?
Oder jemanden, der andere hemmungslos in sozialen Medien mobbt? Eine vielversprechende Karriere als TicToc-Star verbaut?
Wo sind denn jetzt genau die Grenzen?
1) Jugendstrafen sind irrelevant.
2) Er wird in keiner Weise ernsthaft bestraft werden. (Knast)
3) In zahlreichen, extrem hoch bezahlten, ganz legalen Bereichen der IT ist “hab als Schüler schon was geknackt” eine dicke fette Eintrittskarte und damit positiv.
4) Schönes Täterverstehertum – wahrscheinlich haben die dummen Lehrkräfte ihn provoziert.
5) Wenn aber IHRE höchstpersönlichen Infos ausgespäht werden – lassen Sie mich raten, da soll dann “richtig zugelangt werden”, weil “ist was anderes” ? 😉
Vielleicht lieber die Softwaremenschen versetzen, die anscheinend (z.B. password )Absicherung in der Schule nicht sooo nötig sehen
und die “kriminelle Energie” durch mehr als Versetzung ahnden, mit allem was strafrechtlich möglich ist – oder haben die auch nur pubertär gespielt ?