Speyer 
Rätselraten um geklaute Daten: Was über den Hackerangriff auf Speyerer Schulen bekannt ist
Wie erfuhr die Stadtverwaltung vom Angriff der Hackergruppe Lockbit?
Nach Angaben von Andreas Heck, Leiter der städtischen IT-Abteilung, meldete am Morgen des 15. Januar 2025 eine Speyerer Schule eine E-Mail mit dem Hinweis, dass Daten verschlüsselt worden seien. Betroffen waren schließlich allein in Speyer 14 allgemeinbildende und Förderschulen in städtischer wie privater Trägerschaft sowie die Berufsschule und womöglich die Kita Schatzinsel, in Rheinland-Pfalz sind es rund 40 Schulen.
Sind Daten abgeflossen?
Ja. Der Umfang ist jedoch unklar. Die Rede ist meist von 1,7 Terabyte. Dass diese Daten tatsächlich gestohlen wurden, wurde laut Heck erst am 4. März 2026 zur Gewissheit, als die Stadt wiederum von einer Schule erfuhr, dass Datensätze im Darknet auftauchten. Auch das ermittelnde Landeskriminalamt (LKA) habe vorher nichts davon gewusst.
Welche Daten wurden gestohlen?
Laut Stadt vermutlich alles, was zu einer Schulverwaltung gehört: Namen und Kontaktdaten von Schülern, Lehrkräften, zum Teil auch Erziehungsberechtigten. Dazu zählen Zeugnisse, Leistungsbeurteilungen, Dokumentationen zu Fehlzeiten und disziplinarischen Maßnahmen, Gesundheitsdaten – etwa medizinische Gutachten im Bereich der Förderschulen –, eventuell Kontodaten, schulinterne Vermerke und Fotos.
Was könnte man mit den Daten anstellen?
Zu Geld machen lassen sich diese Daten kaum, meint Heck. Risiken bestehen dennoch: gezielte Phishing-Mails für Betrugsversuche, Identitätsmissbrauch, Erpressungsversuche. Die Stadt hat laut Oberbürgermeisterin Stefanie Seiler (SPD) bisher keine Kenntnis von konkreten Fällen des Missbrauchs gestohlener Daten. Sollte ein Betroffener dies bemerken, solle er Anzeige erstatten, rät die Stadt.
Von welchen Schulen stammen die Daten?
Auch das ist unklar. Ein ehemaliger Schüler des Schwerd-Gymnasiums und IT-Spezialist will im Darknet auf Datensätze zumindest seiner früheren Schule gestoßen sein. Das LKA hat laut Heck stichprobenartig in Daten hineingeschaut, die es sichern konnte. Daher ist bekannt, dass sich darunter auch sensible Informationen befinden, aber nicht, von welchen Schulen sie stammen.
Wie lange reichen die geklauten Datensätze zurück?
Das weiß niemand. Letztlich seien die Schulen dafür verantwortlich, welche Daten wie lange gespeichert würden, sagt Heck. Wobei es auch viele Daten gebe, die verpflichtend aufbewahrt werden müssten. Es könnten daher auch Schüler und Lehrer betroffen sein, die längst die jeweilige Schule verlassen haben.
An wen können sich Betroffene jetzt wenden?
Zuallererst an die jeweilige Schule, so Seiler. Aber auch die Stadt stehe als Ansprechpartnerin bereit. Sie hat eine Hotline eingerichtet unter Telefon 06232 141312.
Wer kann Auskunft darüber geben, ob jemand konkret vom Datenklau betroffen ist?
Derzeit behördlicherseits niemand. Denn selbst wenn die Stadt in der Lage wäre, die Daten im Darknet einzusehen und herunterzuladen, dürfte sie das nicht. Grund: Die Ermittler gehen von einem ungeordneten Datenpool aus. Bedeutet: Daten, welche die Stadt datenschutzrechtlich einsehen darf, sind vermengt mit Daten etwa von Schülern und Lehrkräften, die für die Stadt generell tabu sind. Eine Lösung könnte sein, dass die Schulaufsicht, also das Land, einen Dienstleister beauftragt, der die Daten aus dem Darknet kopiert und nach Schulen sortiert. Aber auch dann gilt: Daten, die im Darknet vorhanden sind, können Außenstehende nicht löschen.
Aus welcher Motivation heraus handelten die Täter?
Das erscheint rätselhaft. Es sei kein Erpresserschreiben mit Geldforderungen eingegangen, zumindest nicht bei der Stadt Speyer als Schulträger, sagt Heck. Auch, dass die Datensätze erst ein Jahr nach dem Angriff veröffentlich wurden, kann sich niemand erklären.
Wie gelangten die Hacker ins System?
Laut Heck lag das Einfallstor bei einem Schulträger außerhalb Speyers. Von dort wurden die Systeme des IT-Dienstleisters infiltriert, der unter anderem die Speyerer Schulnetzwerke betreut, in denen sich dann die Schadsoftware ausbreitete. Als wahrscheinlichste Quelle gilt laut Heck eine sogenannte Phishing-Mail. Die Ermittler bestätigen dies bisher nicht.
Was sollten Betroffene tun?
Unbedingt alle Passwörter ändern, die mit der Schule in Zusammenhang stehen, und wachsam sein.
Was hat Stadt unternommen?
Die Schul-IT neu aufgestellt und besser geschützt. Sie hat auch einen Notfallplan für künftige Cyberattacken erstellt. Heck spricht von 6000 bis 12.000 Eindringversuchen in die städtischen Systeme pro Tag. Entworfen wurden zudem altersspezifische Leitfäden für Betroffene, die an die Schulen verteilt werden.
Wird die Stadt ihren IT-Dienstleister in Regress nehmen?
Schadenersatzansprüche würden geprüft, kündigte Seiler an. Auch werde die Betreuung der Schul-IT neu ausgeschrieben. Die Frage sei, wem man ein Verschulden nachweisen könne. Von städtischer Seite sei man allen Verpflichtungen eines Schulträgers nachgekommen, betonte Seiler. Ein höherer Schutz sei möglich gewesen, doch die Kosten seien zu hoch, verdeutlichte Heck. Derzeit gewähre das Land einem Schulträger pro Schüler und Jahr elf Euro für die gesamte IT-Ausstattung der Schulen. Notwendig seien jedoch 162 Euro. Bei rund 7000 Schülern und rund 650 Lehrkräften an Speyerer Schulen sei der Differenzbetrag nicht zu stemmen, so Heck. Die Stadt sieht hier das Land in der Verantwortung.