Pfalz RHEINPFALZ Plus Artikel Hackerangriff: Ermittler finden gestohlene Schul-Daten

Das Landeskriminalamt wollte die Daten herunterladen. Das klappte allerdings nicht bis zum Ende.
Das Landeskriminalamt wollte die Daten herunterladen. Das klappte allerdings nicht bis zum Ende.

Auf der Suche nach gestohlenen Daten nach dem Hackerangriff auf 45 Schulen in der Pfalz sind Ermittler des Landeskriminalamts offenbar fündig geworden.

Sind nach dem Hackerangriff Anfang des Jahres auf einen externen Dienstleister der IT vieler Schulen in der Pfalz Daten abgeflossen? Diese Frage treibt Betroffene nach wie vor um. Nun ist bekannt geworden: „Für eine Datenexfiltration spricht, dass ein externer Server der Tätergruppierung ermittelt werden konnte, auf dem sich zwei Archive mit dem Namen des betroffenen externen Dienstleisters mit einer Größe von jeweils 820 Gigabyte in einem öffentlich einsehbaren Verzeichnis befanden“, antwortet die Landesregierung auf eine Kleine Anfrage des Speyerer Landtagsabgeordneten Michael Wagner (CDU).

Das LKA habe die Daten herunterladen wollen, dieser Download sei jedoch nicht erfolgreich beendet worden, „da der Server, auf dem die Daten lagen, abgeschaltet wurde und nicht mehr erreichbar war“. Ob der Server durch die Täter oder den Hostingdienst – also den Anbieter des Servers, den die Hackergruppe Lockbit nutzte – abgeschaltet wurde, sei nicht bekannt. Offen ist auch, was genau in den Archiven gespeichert ist: Durch die Serverabschaltung habe die Archivdatei nur unvollständig heruntergeladen werden können. Da nur Datenfragmente vorhanden seien und diese nicht entschlüsselt werden könnten, könnten die abgezogenen Daten nicht eingesehen werden. Hinweise auf einen finanziellen Schaden oder einen Identitätsdiebstahl lägen nicht vor.

Wann der Angriff erfolgte, bleibt unklar

Unklar ist auch noch, wann der Hackerangriff, der im Januar bekannt wurde, eigentlich begonnen hat. In der forensischen Auswertung sei ein „initial maliziös agierender User-Account“ festgestellt worden, – gewissermaßen ein Nutzeraccount, der mit Schadsoftware belastet ist. Die „ursprüngliche Kompromittierung“ habe sehr wahrscheinlich schon mehrere Monate vor der Verschlüsselung der Systeme stattgefunden. Derzeit sei von einem Phishing-Angriff auszugehen. Das ist ein Cyberangriff, bei dem Nutzer zum Beispiel mit gefälschten E-Mails oder Internetseiten dazu verleitet werden sollen, persönliche oder sensible Daten preiszugeben. Nach dem Hackerangriff waren zahlreiche Schulen vom Netz genommen worden. Die Auswirkungen davon waren lange im Schulalltag spürbar oder sind es noch immer.

Nun wird die Sicherheit von Schulnetzwerken erhöht: Die Stadt Speyer ist beispielsweise gerade dabei, die Netzwerke ihrer 14 Schulen in 28 Netze für pädagogische und Verwaltungsarbeit aufzutrennen. Der Landtagsabgeordnete Wagner sagt, zunehmende Cyberangriffe verdeutlichten die Notwendigkeit verstärkter Sicherheitsmaßnahmen in Verwaltungen und Bildungseinrichtungen.

Mehr zum Thema
LKA Michael Wagner Alle Themen
x