Speyer 
Nach Hackerangriff auf Pfälzer Schulen: Waren Sicherheitslücken bekannt?
Worum geht es?
In der Nacht zum 15. Januar 2025 erlangt die Hackergruppe Lockbit, die sich auf die Verschlüsselung und den Diebstahl von Daten spezialisiert hat, Zugang zu den Netzwerken von 45 Schulen in der Vorder- und Südpfalz. Betroffen sind neben Schulen in den Kreisen Germersheim, Bad Dürkheim und im Rhein-Pfalz-Kreis auch die Stadt Neustadt und kirchliche Träger im Bereich des Bistums.
Welche Schulnetzwerke wurden gehackt?
Die 14 allgemeinbildenden Schulen in Speyer sowie die Berufsschule. Dazu kommt möglicherweise die Kita Schatzinsel, die laut Stadtverwaltung das Netzwerk der benachbarten Siedlungsgrundschule nutzte. Als der Angriff bekannt wird, kappt die städtische IT-Abteilung die Verbindung zu den Schulnetzen und trennt diese zudem vom Internet. Die Auswirkungen auf Unterricht und Schulverwaltung sind enorm. Es dauert bis in den vergangenen Dezember, bis die Systeme wieder wie vorgesehen laufen.
Sind Daten abhandengekommen?
Monatelang ist unklar, ob bei dem Hackerangriff überhaupt Daten abgeflossen sind, ob sich darunter welche von Speyerer Schulen befinden und welcher Art die womöglich gestohlene Daten sind. Zwar taucht wenige Tage nach der Cyberattacke ein Erpresserschreiben auf, in dem Lockbit behauptet, bis zu drei Terabyte an Daten erbeutet zu haben. Die Gruppe droht auch mit deren Veröffentlichung. Es geschieht jedoch nichts.
Was ergeben die Ermittlungen?
Im Mai 2025 entdecken Spezialisten des Landeskriminalamtes (LKA) zwei Archive der Tätergruppe im Darknet, die offenbar mit dem Hackerangriff in Verbindung stehen. Darin finden sich insgesamt 1,6 Terabyte Daten. Doch das LKA kann sie nicht vollständig herunterladen, weil der betreffende Server vorher abgeschaltet wird. Es bleibt daher ungewiss, ob und welche Daten abhandengekommen sind. Anfang März jedoch wird klar: Die Hacker haben tatsächlich Daten von den Schulnetzwerken heruntergeladen.
Welche Daten wurden von Speyerer Schulen gestohlen?
Am 4. März veröffentlicht die Stadt Speyer eine Mitteilung, wonach sie am selben Tag erfahren habe, „dass Daten aus dem Hacker-Angriff vom Januar 2025 im Darknet zugänglich sind“. Einen Tag danach bestätigt der Speyerer IT-Dienstleister Topackt IT Solutions, der die Schulnetzwerke betreut, diese Information. Allerdings müsse man erst analysieren, welcher Art die veröffentlichten Daten seien. Warum die Daten von den Hackern erst so lange nach dem Angriff veröffentlich werden, ist unklar.
Gibt es keine detaillierteren Angaben?
Doch, die gibt es. Ein ehemaliger Speyerer Gymnasiast und IT-Experte ist überzeugt, benennen zu können, um welche Daten es sich handelt. Über den Münchner Fachanwalt für IT-Recht und Datenschutz-Experten Marc Maisch lässt er mitteilen, er habe inzwischen 2,5 Terabyte an Daten identifiziert. Davon stammten angeblich 350 Gigabyte vom Schwerd-Gymnasium und enthalten „alles, was zu einer Schulverwaltung gehört“, erläutert Maisch im Gespräch mit der RHEINPFALZ. Darunter sind nicht nur konkrete Namen, Adressen, Telefonnummern und Anwesenheitslisten, sondern zum Teil „hochsensible Daten“, sagt Maisch. Beispielsweise Zeugnisse und Beurteilungen von Schülern und Lehrkräften, interne Vermerke, Informationen über disziplinarische Maßnahmen sowie Gesundheitsdaten. Am 18. März bestätigt schließlich auch die Stadtverwaltung, dass Lockbit „personenbezogene Daten“ veröffentlicht habe, „in Einzelfällen können auch besonders sensible Informationen“ betroffen sein. Maisch wendet sich im Auftrag des früheren Speyerer Schülers mit einer Beschwerde an den rheinland-pfälzischen Datenschutzbeauftragten Dieter Kugelmann.
Warum soll der Datenschutzbeauftragte tätig werden?
Kugelmann solle überprüfen, ob der Stadt Speyer und dem von ihr beauftragten Dienstleister Versäumnisse beim Schutz persönlicher Daten nachzuweisen sind, sagt Maisch. Die Frage sei, ob die Schuldaten angemessen abgesichert waren und ob die Betroffenen ausreichend und rechtzeitig von einem möglichen Verlust ihrer Daten unterrichtet wurden. Die entwendeten Daten seien zwar speziell und dadurch für Hacker vermutlich schwer zu Geld zu machen, räumt Maisch ein. Doch sie könnten etwa für Identitätsdiebstähle, Cybermobbing oder Phishing-Attacke verwendet werden. Dass sensible persönliche Daten nun frei zugänglich im Netz zu finden seien, sei ein „Skandal“, so Maisch. Um einen Rechtsstreit und mögliche Schadenersatzansprüche gehe es aktuell jedoch nicht.
Gab es Warnungen?
Ja, sagt Maisch. Sein Mandant habe noch als Speyerer Schüler im Dezember 2023 Sicherheitslücken in der schulischen IT-Infrastruktur entdeckt und sowohl die Schulleitung als auch den IT-Dienstleister informiert. So sei es ihm beispielsweise gelungen, „Zugriff auf die Administrator-Ebene zu erhalten“. Passwörter seien einfachster Art und wiederkehrend gewesen, der junge IT-Spezialist hätte nach eigenen Angaben sogar Zeugnisse ändern können, sagt Rechtsanwalt Maisch. Die Warnungen des Schülers seien jedoch nicht ernst genommen, später lediglich „kosmetische“ Änderungen an der IT-Struktur vorgenommen worden.
Was sagt der IT-Dienstleister?
Das Unternehmen wehrt sich gegen den Vorwurf. Bei einem gemeinsamen Termine habe der frühere Schüler eine sogenannte „NTLM-Attacke“ demonstriert. Dabei sei es ihm gelungen, „administrative Rechte zu erlangen und auf sensible Speicherbereiche des Schülerservers zuzugreifen“, erklärt Topackt-Geschäftsführer Michael Nist auf Anfrage. Für diesen Hinweis sei man dankbar gewesen und habe umgehend Gegenmaßnahmen eingeleitet. „Dazu gehörten insbesondere die Unterbindung des Zugriffs aus dem WLAN auf den Schülerserver, Passwortänderungen sowie eine umfassende Analyse der sich daraus ergebenden Risiken für das Netzwerk.“ Außerdem sei die Abwärtskompatibilität von NTLM – ein Authentifizierungsverfahren bei Windows – im gesamten System deaktiviert worden. NTLM vollständig abzuschalten, könne jedoch nur schrittweise erfolgen. Da größere architektonische Änderungen der Netzwerkinfrastruktur auch mit erheblichen Kosten für die Schulträger verbunden seien, ließen sich solche Veränderungen nicht innerhalb kürzester Zeit realisieren. „Wir weisen daher die Anschuldigung, es habe sich nichts verändert, entschieden zurück. Der Schüler war nicht in unsere interne Kommunikation sowie in die Abstimmungen mit den Schulträgern eingebunden“, erklärt Nist. Der Hackerangriff 2025 habe zudem nichts mit der durch den früheren Schüler aufgezeigten Sicherheitslücke zu tun. „Der von ihm demonstrierte Angriff war nur mit erheblicher Vorbereitung und lokalem Zugriff möglich.“
Was sagt die Stadt dazu?
Der Stadt hätten keine Meldungen zu Sicherheitsmängeln aus dem Dezember 2023 vorgelegen. „Für den Fall, dass ein unbefugtes oder illegales Eindringen in sensible Bereiche schulischer IT-Infrastrukturen bekannt geworden wäre, hätte die Stadt Speyer, analog zum Vorgehen nach der Cyberattacke im Januar 2025, unverzüglich strafrechtliche Schritte eingeleitet und die zuständigen Behörden eingebunden“, erklärt eine Sprecherin der Verwaltung auf Anfrage. Die Stadt habe ihre Verantwortung als Schulträger, die insbesondere den Betrieb von Virenschutzlösungen und die regelmäßige Installation von Sicherheitsupdates umfasse, zusammen mit dem IT-Dienstleister erfüllt. Außerdem sei bereits vor der Cyberattacke mit einer umfassenden Modernisierung der Schul-IT begonnen worden.
Ist mittlerweile bekannt, wie die Hacker ins System gelangten?
Das LKA ging zuletzt davon aus, dass die Hacker bereits Monate, bevor der Angriff entdeckt wurde, eine Schadsoftware in die Systeme eingeschleust haben. Der Dienstleister selbst vermutete einen Phishingangriff als Einfallstor für die Schadsoftware. Erleichtert worden sei die Cyberattacke dem Vernehmen nach dadurch, dass die betroffenen Schulnetzwerke nicht voneinander getrennt, sondern zentral verwaltet wurden und die eingesetzten Schutzmechanismen nicht ausreichend waren.
Wie soll verhindert werden, dass sich Selbiges nicht wiederholt?
Die IT-Infrastruktur der betroffenen Speyerer Schulen wurde aufgeteilt. Pro Schule gibt es nun jeweils ein Netzwerk für die Verwaltung sowie für die Schüler und die pädagogische Arbeit, also 28 Netze, die zudem nicht mehr gegenseitig durchlässig sind. Die Umsetzung sollte laut Stadt bis Jahresende 2025 abgeschlossen sein. Zudem wurden die Schutzmaßnahmen gegen äußere Einflüsse verstärkt. Außerdem wurde komplett neue Hardware beschafft und sogar neue Leitungen gezogen, um zu verhindern, dass womöglich irgendwo noch lauernde Schadsoftware die neuen Systeme infiltriert. Alle alten Datensätze wurden vor ihrem Umzug mehrfach kontrolliert.
Was passiert mit den Daten im Darknet?
In einer Mitteilung an die Schulen vom 18. März schreibt die Stadt, dass „Daten, die im Darknet veröffentlicht werden, in der Regel nicht mehr vollständig entfernt oder kontrolliert werden“ können: „Eine Weiterverbreitung durch Dritte kann daher nicht ausgeschlossen werden.“
Was könne Betroffene jetzt tun?
Eltern rät die Stadt, „umgehend“ alle schulischen Passwörter zu ändern sowie vorsorglich auch die Passwörter für private Internetdienste. Die Stadt hat eine Telefonnummer eingerichtet, an die sich Betroffene mit Fragen wenden können: 06232 141312. Sie verweist zudem auf die Webseite ihres Dienstleisters: www.topackt.com. Rechtsanwalt Maisch betont, dass jeder Betroffene – Schüler, ehemalige Schüler und Eltern – das Recht habe, „von der Stadtverwaltung Speyer als verantwortlicher Stelle Auskunft darüber zu verlangen, welche personenbezogenen Daten konkret betroffen sind“. Die habe einen Monat Frist zur Beantwortung.
Was sagen die Eltern?
Die Elternvertretungen von sieben weiterführenden Schulen hatten bereits im Juni 2025 Aufklärung von der Stadt gefordert und eine unzureichende Informationspolitik bemängelt. Die Elternvertreter seien ob der neuen Entwicklungen „schockiert“, sagt Catharina Lorch, Sprecherin des Schulelternbeirats am Schwerd-Gymnasium, auf Anfrage. Man habe das Gefühl, noch immer nicht ausreichend darüber informiert zu werden, was passiert sei und was jetzt getan werden müsse. Man fordere einen höheren Schutz sensibler Daten. Am kommenden Dienstag will die Stadt Schulleitungen und Elternvertreter über den Sachstand unterrichten.