MÜNCHEN. Die Nachricht erreichte Münchner Schulen zunächst über Medienberichte. Persönliche Daten von rund 120.000 Schülerinnen und Schülern, Lehrkräften und Beschäftigten des Bildungsbereichs könnten aus den Systemen eines städtischen IT-Dienstleisters abgeflossen sein. Ob die Informationen tatsächlich im Darknet kursieren, ist bislang unklar, die Staatsanwaltschaft ermittelt. Für viele Schulleitungen und Lehrkräfte ist der Fall dennoch ein Schock – auch weil er Erinnerungen an einen anderen Vorfall weckt, bei dem die Befürchtungen erst mehr als ein Jahr später bestätigt wurden.
Als die ersten Eltern am St.-Anna-Gymnasium in München von einem möglichen Datenleck erfuhren, hatten sie die Meldungen bereits in den Medien gelesen. Schulleiterin Susanne Sütsch entschied sich deshalb, die Familien selbst zu informieren. Gegenüber der Süddeutschen Zeitung schilderte sie die Verunsicherung vieler Familien. „Schon vorher haben wir Fragen von Eltern bekommen, die wissen wollten, ob die Daten ihrer Kinder betroffen sind.“ Und sie verwies auf ein Problem, das viele Schulen nur begrenzt beeinflussen können: „Alle Vorsichtsmaßnahmen zum Schutz der Schülerdaten an der Schule greifen nicht, wenn es andernorts ein Datenleck gibt.“
Die Frage, die derzeit viele Münchner Schulen beschäftigt, lautet deshalb nicht nur, ob Daten abgeflossen sind. Sie lautet auch: Wie sicher sind die digitalen Infrastrukturen, auf die Schulen inzwischen angewiesen sind?
Auslöser der aktuellen Debatte ist der Verdacht, dass personenbezogene Daten von rund 120.000 Menschen die Systeme der städtischen Tochtergesellschaft LHM Services GmbH verlassen haben könnten. Nach Recherchen der Abendzeitung, über die unter anderem der Bayerische Rundfunk und die Süddeutsche Zeitung berichteten, sollen Datensätze von Schülerinnen und Schülern, Lehrkräften und Beschäftigten des Bildungsreferats betroffen sein. Genannt werden Namen, Geburtsdaten, Staatsangehörigkeiten, Adressen und Angaben zu den jeweils besuchten Schulen.
„Wir wollen wissen, ob Daten rausgegangen sind und wenn ja, welche. Ist da auch meine private Handynummer dabei? Ist die im Darknet gelandet?“
Gesichert ist bislang wenig. Die Staatsanwaltschaft und die bayerische Zentralstelle Cybercrime ermitteln. Die LHM Services GmbH hat Strafanzeige erstattet und den Bayerischen Landesbeauftragten für den Datenschutz informiert. Gleichzeitig verweist das Unternehmen auf eine externe Darknet-Recherche, die bislang keine frei zugänglichen Datensätze gefunden habe. Nach Darstellung des Unternehmens spreche derzeit vieles dafür, dass Daten nicht öffentlich verfügbar gewesen seien, sondern möglicherweise gezielt an Dritte weitergegeben wurden.
Für Betroffene macht diese Ungewissheit die Situation kaum einfacher.
„Die Lehrkräfte an meiner Schule machen sich Sorgen um ihre Daten. Und ich mir auch“, sagte Thomas Peter, Schulleiter der Erich-Kästner-Realschule, der Süddeutschen Zeitung. „Wir wollen wissen, ob Daten rausgegangen sind und wenn ja, welche. Ist da auch meine private Handynummer dabei? Ist die im Darknet gelandet?“
Auch Wolfgang Rudolph vom Münchner Lehrer- und Lehrerinnenverband schilderte gegenüber der Zeitung seine Irritation. „Vermutlich sind meine Daten jetzt im Darknet. Und zwar nicht nur Vor- und Nachname, sondern auch die Adresse und die Religionszugehörigkeit.“ Besonders problematisch könne dies für vulnerable Gruppen werden, etwa für jüdische oder ukrainische Schülerinnen und Schüler oder für Personen des öffentlichen Lebens.
Die Ermittlungen in München laufen erst an. Doch die Debatte bekommt zusätzliche Brisanz, weil es bereits einen anderen Fall gibt, der zeigt, welche Folgen ein Angriff auf schulische IT-Systeme haben kann.
Rund 300 Kilometer nordwestlich von München kämpfen Schulen in Rheinland-Pfalz seit Monaten mit den Nachwirkungen eines Cyberangriffs. Dort hatte die international bekannte Ransomware-Gruppe LockBit nach Angaben von Behörden und Medienberichten im Januar 2025 die Infrastruktur des Schulnetzwerks DNSX angegriffen. Betroffen waren etwa 45 Schulen in der Vorderpfalz, darunter zahlreiche Schulen in Speyer.
Zunächst war lediglich von einem möglichen Datenabfluss die Rede. Eltern und Schülerinnen und Schüler wurden damals darüber informiert, dass ein Datenleck nicht ausgeschlossen werden könne. Mehr als ein Jahr blieb unklar, ob die Angreifer tatsächlich Daten erbeutet und veröffentlicht hatten.
Im März 2026 änderte sich das.
In einem Schreiben an Eltern und Erziehungsberechtigte informiert die Realschule Plus Germersheim über eine „Verletzung des Schutzes personenbezogener Daten“, bei der nach aktuellem Ermittlungsstand Daten „unbefugt kopiert und im Darknet veröffentlicht“ worden seien. Genannt werden unter anderem Namen, Anschriften und Geburtsdaten von Schülerinnen und Schülern, Kontaktdaten von Eltern, Zeugnisse, schulinterne Vermerke, Gesundheitsdaten, disziplinarische Maßnahmen und Fotos.
Als mögliche Folgen nennt die Schule „Identitätsmissbrauch“, „Phishing- und Betrugsversuche“, „unbefugte Kontaktaufnahme“, „Social Engineering“ und „Erpressungsversuche“. Zugleich weist sie darauf hin: „Derzeit [ist] kein konkreter Missbrauch nachgewiesen“, ein solcher könne jedoch „nicht ausgeschlossen werden“.
Der Münchner IT- und Datenschutzanwalt Marc Maisch berichtet auf seiner Kanzleiwebsite unter Berufung auf einen von ihm vertretenen ehemaligen Schüler sowie IT-forensische Untersuchungen von insgesamt mehr als 2,5 Terabyte veröffentlichten Daten. Das liegt in einer Größenordnung, in der sich Millionen von Dokumentenseiten oder Hunderttausende PDF-Dateien speichern lassen. Genannt werden Stammdaten, Zeugnisse, Fehlzeitenübersichten, Gesundheitsinformationen, disziplinarische Vermerke und interne Dokumente.
Die veröffentlichten Datensätze betreffen nach Darstellung der Kanzlei nicht nur Schülerinnen, Schüler und deren Familien. In dem Beitrag heißt es ausdrücklich: „Ferner sind personenbezogene Daten von Lehrern enthalten.“ Damit wären auch Beschäftigte von Schulen von dem Datenleck betroffen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat nach Angaben der Kanzlei inzwischen Ermittlungen aufgenommen.
Nach Angaben des von Maisch vertretenen ehemaligen Schülers seien bereits Ende 2023 erhebliche Sicherheitsmängel gemeldet worden. Der Schüler habe sich zunächst an seine Schulleitung gewandt. Dokumentiert worden seien unter anderem im Klartext gespeicherte Administrator-Passwörter, weitreichende Administratorrechte, veraltete Verschlüsselungsverfahren und eine fehlende Trennung verschiedener Netzwerke. Die Schulleitung habe versucht zu vermitteln, schreibt die Kanzlei. Die geschilderten Mängel seien jedoch nach Darstellung des Hinweisgebers nicht grundlegend beseitigt worden.
Die Stadt Speyer widerspricht Teilen der Darstellung. In einem Schreiben an die Kanzlei, das auf der Website dokumentiert ist, heißt es, die Behauptung, die Stadt sei über entsprechende Sicherheitsmängel informiert gewesen, entspreche nicht den Tatsachen. Die Kanzlei wiederum stellte später klar, ihr Mandant habe nicht behauptet, die Stadt selbst informiert zu haben. Die Frage, welche Stellen welche Kenntnisse hatten und welche Verantwortlichkeiten bestanden, gehört inzwischen zu den Gegenständen der datenschutzrechtlichen Ermittlungen.
Der Fall verweist auf ein Grundproblem der digitalen Schulverwaltung.
Immer mehr personenbezogene Daten werden zentral gespeichert und verarbeitet. Dazu gehören nicht nur Namen und Adressen, sondern häufig auch Gesundheitsinformationen, Förderbedarfe, Leistungsdaten oder Angaben zu familiären Situationen. Schulen sind auf diese Systeme angewiesen. Gleichzeitig entstehen dadurch hochattraktive Ziele für Cyberkriminelle.
Nicht jeder Datenabfluss beginnt mit einem technischen Einbruch in ein System. Häufig versuchen Angreifer zunächst, Beschäftigte zu täuschen. Sie geben sich etwa als interne Ansprechpartner aus, erschleichen Zugangsdaten oder bewegen Mitarbeitende dazu, Sicherheitsregeln zu umgehen. Fachleute sprechen von „Social Engineering“. „Menschen sind eine Schwachstelle“, sagte der Informatikprofessor Stefan Wagner von der Technischen Universität München der Süddeutschen Zeitung.
„Es gibt keine perfekte Lösung, die grundsätzlich verhindern könnte, dass Insider Daten abziehen“
Johannes Kinder, Informatikprofessor an der Ludwig-Maximilians-Universität München, verwies gegenüber der Süddeutschen Zeitung auf die Grenzen technischer Kontrolle. „Es gibt keine perfekte Lösung, die grundsätzlich verhindern könnte, dass Insider Daten abziehen“, sagte er. Zwar gebe es Analysetools, die ungewöhnliches Nutzerverhalten erkennen und Alarm schlagen könnten. Wenn jemand plötzlich die Daten von 100.000 Schülerinnen und Schülern herunterlade, obwohl er sonst nur mit deutlich kleineren Datenmengen arbeite, könne dies auffallen. Allerdings müsse dann auch jemand die Warnung bewerten. Automatische Sperren könnten wiederum legitime Arbeitsprozesse behindern. Für Schulen bedeutet das eine unangenehme Erkenntnis.
In den vergangenen Jahren wurden erhebliche Anstrengungen unternommen, um Datenschutz und Datensicherheit im Schulalltag zu stärken. Lehrkräfte werden geschult, Kommunikationswege abgesichert, Zugriffsrechte eingeschränkt. Doch viele Risiken liegen außerhalb des unmittelbaren Einflussbereichs einzelner Schulen. Sie entstehen bei Dienstleistern, in Rechenzentren oder innerhalb komplexer Verwaltungsstrukturen.
Genau das beschäftigt derzeit viele Münchner Schulleitungen. Noch ist offen, ob sich die Vorwürfe bestätigen. Noch ist unklar, welche Daten tatsächlich betroffen sein könnten. Doch die Erfahrungen aus der Pfalz zeigen, dass zwischen einem ersten Verdacht und der endgültigen Aufklärung Monate oder sogar Jahre liegen können. Selbst dort, wo inzwischen von veröffentlichten Daten ausgegangen wird, bleiben viele Fragen offen. Wer die Informationen heruntergeladen hat, wie sie weiterverbreitet werden und ob sie irgendwann für Betrugsversuche oder andere Straftaten genutzt werden, lässt sich häufig nicht beantworten.
Die Realschule Plus Germersheim rät Eltern deshalb zu „besonderer Vorsicht bei unerwarteten Nachrichten (E-Mail, Telefon, Social Media etc.)“, zur „Änderung von Passwörtern“ und dazu, sensible Informationen nicht ohne Prüfung weiterzugeben. Zudem empfiehlt die Schule eine „erhöhte Aufmerksamkeit bei Konto- und Vertragsaktivitäten“. Mehr als ein Jahr nach dem Angriff geht es damit längst nicht mehr nur um die Frage, welche Daten gestohlen wurden. Für viele Betroffene stellt sich nun das noch weitreichendere Problem: Wer nutzt die veröffentlichten Informationen – und was wird daraus noch folgen? News4teachers / von Volker Jürgens
Der Autor Volker Jürgens war selbst Geschäftsführer eines IT-Unternehmens in der Bildungsbranche und Vizepräsident des Didacta-Verbands. Er ist heute als Fachjournalist tätig.
