Angriff auf Karlsruher Schulen

Seit dem 13.02.2023 geht es durch die Medien und insbesondere auch die lokale Zeitung Badische Neueste Nachrichten (BNN). Karlsruher Schulen wurden gehackt. Eine Auswahl der Online-Links:

Auf Spurensuche findet man, dass

Die Sicherheit von VMware ESXi hängt – wie der Hersteller schreibt – von der Netzwerk- und damit Gebäudesicherheit ab. Schulen sind aber keine Bunker sondern vergleichsweise offen, da gehört so eine Lösung meiner Meinung nach gar nicht hin.

Und dann unterlässt man es auch noch Sicherheitspatches einzuspielen – fatal. Die Schulen waren aller Wahrscheinlichkeit nicht das Ziel einer gezielten Attacke, sondern die Angreifer haben nur nach erreichbaren verwundbaren Systemen gesucht. Das ist ein Muster, das spätestens seit Wanna Cry bekannt sein muss – eine Sicherheitslücke, für die es bereits einen Patch gibt, wird ausgenutzt. Man muss sich klarmachen, dass sobald ein Sicherheitspatch veröffentlicht wird, Forscher und Angreifer die Änderungen analysieren und damit klar wird, welches Problem korrigiert wurde und es beginnt die Suche nach möglichen Angriffswegen und nach Möglichkeiten, verwundbare Systeme zu identifizieren. Je länger man mit dem Einspielen von Sicherheitspatches wartet, desto wahrscheinlicher findet ein auch nur mittelmäßig begabter Angreifer so ein System.

Und dann soll es mindestens zwei Wochen dauern, bis die Schulen wieder arbeiten können? Hat man denn keine Datensicherung die man auf anderer Hardware zum Einsatz bringen kann?

Am 15.02. habe ich bei der Stadt Karlsruhe und nach Kommentaren auf Heise auch beim Dienstleister Landesmedienzentrum Baden-Württemberg angefragt, ob es ob die Schulen überhaupt ein Sicherheitskonzept haben, und ggfs. auf welchem Niveau. Antworten stehen noch aus. Die BNN zitiert Alexander Salomon (Grüne) Im Grunde braucht jede Schule einen IT-Sicherheitsbeauftragten. Der muss dann aber auch geeignet ausgebildet sein, genügend Zeit haben, und sich durchsetzen können – das klingt nicht nach einem Lehrer der IT im Nebenberuf mitmacht.

Ein Problem kommt selten allein...

Ergänzt am 03.03.2023.

Nutzung privater Computer

In Nach Hackerangriff: Stadt Karlsruhe will erste Schulen nach den Ferien wieder ins Netz lassen (BNN, 24.02.2023) schreibt die BNN, dass eine Schulleiterin ihren privaten Computer verwendet hat. Die Nutzung privater Geräte stellt in meinen Augen ein erhebliches Risiko dar, wie ich schon in Nutzung privater Mittel durch die Organisation vs. private Nutzung von Mitteln der Organisation beschrieben habe. Leider ist das nicht nur die private Initiative der Schulleiterin, sondern es scheint sogar eine Anleitung dafür zu geben – die man mir nicht geben will, vermutlich weil sie nicht angemessen mit dem Problem umgeht.

Dank der ausweichenden Antwort finde ich aber das Dokument Einrichtung der Schulmailpostfächer, und leider findet sich darin kein Hinweis auf Verschlüsselung. Ob die erzwungen wird, kann ich leider nicht ausprobieren, denn der Mailserver ist nicht direkt aus dem Internet erreichbar. Es würde mich nicht überraschen wenn Verschlüsselung nicht erzwungen wird und damit ein Mitlesen innerhalb der Schule möglich ist.

Probleme bei der Schulverwaltungssoftware

Auf der Schulverwaltungsseite des Institut für Bildungsanalysen Baden-Württemberg finde ich einen Download der Schulverwaltungssoftware, die anscheinend jede öffentliche Schule in Baden-Württemberg im Einsatz hat. Ich habe die auf einer Testmaschine installiert, und finde eine veraltete Java-Version, keine Anleitung zur Aktivierung von Verschlüsselung, und andere Fragwürdigkeiten – aber man beantwortet meine Fragen nicht.

Wer ist verantwortlich?

Die Pressesprecherin des Landesdatenschutzbeauftragte schreibt am 23.02., die Schulen seien verantwortlich. Ich darf das in Frage stellen, denn die Stadtverwaltung und das Land Baden-Württemberg scheinen wesentliche Verarbeitungen inhaltlich oder über die bereitgestellten Mittel zu bestimmen, so dass sie meiner Meinung nach Artikel 28 Abs. 10 als Verantwortliche im Sinne der DSGVO anzusehen sind. Auch ist der behördliche Datenschutzbeauftragte der Schulen ein Mitarbeiter des Landes, und darin sehe ich zumindest die Möglichkeit von Interessenskonflikten.

Kommunikation (Auszug)

Datum/ZeitSenderEmpfängerThema

Zum Hackerangriff

15.02.2023 18:32Joachim LindenbergStadt KarlsruheBestätigung Ihrer Medienanfrage zum Thema Hackerangriff auf Karlsruher Schulen
16.02.2023 12:26Joachim LindenbergLandesmedienzentrum Baden-WürttembergWG Bestätigung Ihrer Medienanfrage zum Thema Hackerangriff auf Karlsruhe...chulen
16.02.2023 13:53Stadt KarlsruheJoachim LindenbergRe Medienanfrage zu Hackerangriff auf Karlsruher Schulen
16.02.2023 15:12Joachim LindenbergStadt KarlsruheRe Medienanfrage zu Hackerangriff auf Karlsruher Schulen
17.02.2023 13:32Stadt KarlsruheJoachim LindenbergRe Medienanfrage zu Hackerangriff auf Karlsruher Schulen
17.02.2023 13:41Joachim LindenbergStadt KarlsruheRe Medienanfrage zu Hackerangriff auf Karlsruher Schulen
20.02.2023 14:10Joachim LindenbergStadt Karlsruhe,
Landesmedienzentrum Baden-Württemberg
Re Medienanfrage zu Hackerangriff auf Karlsruher Schulen
20.02.2023 15:24Stadt KarlsruheJoachim LindenbergRe Medienanfrage zu Hackerangriff auf Karlsruher Schulen
20.02.2023 17:06Joachim LindenbergBetroffene SchulenPressenanfrage zu Hackerangriff auf Karlsruher Schulen
20.02.2023 17:25Joachim LindenbergElternvertreterWG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
21.02.2023 12:46SchulleiterJoachim LindenbergRe EXTERN Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
21.02.2023 15:09Joachim LindenbergSchulleiterRe EXTERN Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
21.02.2023 15:33SchulleiterJoachim LindenbergRe EXTERN Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
22.02.2023 13:46Stadt KarlsruheJoachim LindenbergSicherheitskonzepts an Karlsruher Schulen
22.02.2023 15:03Joachim LindenbergStadt KarlsruheRe Sicherheitskonzepts an Karlsruher Schulen
22.02.2023 15:29Joachim LindenbergLandesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-WürttembergWG Sicherheitskonzepts an Karlsruher Schulen
23.02.2023 11:40Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-WürttembergJoachim LindenbergRe EXTERN WG Sicherheitskonzepts an Karlsruher Schulen
23.02.2023 12:03Joachim LindenbergStadt KarlsruheFwd EXTERN WG Sicherheitskonzepts an Karlsruher Schulen
28.02.2023 10:42Joachim LindenbergStadt KarlsruheEXTERN WG Sicherheitskonzepts an Karlsruher Schulen
28.02.2023 11:03Stadt KarlsruheJoachim LindenbergSicherheitskonzepts an Karlsruher Schulen
03.03.2023 10:25Joachim LindenbergLandesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-WürttembergRe EXTERN WG Sicherheitskonzepts an Karlsruher Schulen
08.03.2023 16:47Stadt KarlsruheJoachim LindenbergIhre Anfrage zu Karlsruher Schulen zur Auftragsverarbeitung
08.03.2023 17:14Joachim LindenbergStadt KarlsruheRe Ihre Anfrage zu Karlsruher Schulen zur Auftragsverarbeitung
05.04.2023 23:08Joachim LindenbergStadt KarlsruheRe Ihre Anfrage zu Karlsruher Schulen zur Auftragsverarbeitung
05.04.2023 23:09Joachim LindenbergStadt KarlsruheRe Ihre Presseanfrage zu 'IT-Anleitung'
26.05.2023 09:44Joachim LindenbergStadt KarlsruheOffene Anfragen
06.06.2023 21:53Joachim LindenbergStadt KarlsruheWG Offene Anfragen
07.06.2023 08:28Stadt KarlsruheJoachim LindenbergRe Offene Anfragen
07.06.2023 11:58Stadt KarlsruheJoachim LindenbergIhre Medienanfrage zum Hackerangriff auf Schulen
20.06.2023 15:30Joachim LindenbergStadt KarlsruheRe Offene Anfragen

Zur Nutzung privater Computer

27.02.2023 12:18Joachim LindenbergMelanie ErndweinPressenanfrage zu Hackerangriff auf Karlsruher Schulen
27.02.2023 12:44Melanie ErndweinJoachim LindenbergRe Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
28.02.2023 10:42Joachim LindenbergStadt KarlsruheWG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
28.02.2023 10:57Joachim LindenbergDatenschutzbeauftragterWG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
28.02.2023 12:45DatenschutzbeauftragterJoachim LindenbergRe EXTERN WG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
28.02.2023 14:21Stadt KarlsruheJoachim LindenbergRe Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
28.02.2023 14:46Joachim LindenbergStadt KarlsruheWG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
28.02.2023 15:03Joachim LindenbergDatenschutzbeauftragterRe EXTERN WG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen
01.03.2023 09:18Stadt KarlsruheJoachim LindenbergIhre Presseanfrage zu 'IT-Anleitung'
02.03.2023 12:02Joachim LindenbergStadt KarlsruheRe Ihre Presseanfrage zu 'IT-Anleitung'
02.03.2023 16:11Stadt KarlsruheJoachim LindenbergWG Ihre Presseanfrage zu 'IT-Anleitung'
15.03.2023 08:49Joachim LindenbergMinisterium für Kultus und Sport Baden-WürttembergNutzung privater Geräte und Auftragsverarbeitung durch Lehrer
27.03.2023 16:29Ministerium für Kultus und Sport Baden-WürttembergJoachim LindenbergIhre Anfrage zur Nutzung privater Endgeräte
30.03.2023 17:32Joachim LindenbergMinisterium für Kultus und Sport Baden-WürttembergRe Ihre Anfrage zur Nutzung privater Endgeräte

Zur Sicherheit der Software ASV-BW

28.02.2023 13:23Joachim LindenbergInstitut für Bildungsanalysen Baden-WürttembergPresseanfrage zu ASV-BW
03.03.2023 10:23Joachim LindenbergInstitut für Bildungsanalysen Baden-WürttembergRe Presseanfrage zu ASV-BW
14.03.2023 20:09Joachim LindenbergInstitut für Bildungsanalysen Baden-WürttembergRe Presseanfrage zu ASV-BW
22.03.2023 16:46Institut für Bildungsanalysen Baden-WürttembergJoachim LindenbergRe EXTERN Presseanfrage zu ASV-BW
22.03.2023 16:51Joachim LindenbergInstitut für Bildungsanalysen Baden-WürttembergRe EXTERN Presseanfrage zu ASV-BW
27.04.2023 11:01Institut für Bildungsanalysen Baden-WürttembergJoachim LindenbergRe EXTERN Re EXTERN Presseanfrage zu ASV-BW
26.05.2023 10:58Joachim LindenbergInstitut für Bildungsanalysen Baden-WürttembergRe EXTERN Re EXTERN Presseanfrage zu ASV-BW
06.06.2023 21:54Joachim LindenbergInstitut für Bildungsanalysen Baden-WürttembergRe EXTERN Re EXTERN Presseanfrage zu ASV-BW
14.06.2023 17:57Ministerium für Kultus und Sport Baden-WürttembergJoachim LindenbergWG EXTERN AW Presseanfrage zu ASV-BW
20.06.2023 15:21Joachim LindenbergMinisterium für Kultus und Sport Baden-WürttembergRe EXTERN AW Presseanfrage zu ASV-BW

Leserbriefe, Reaktionen, Ergänzungen

Mir liegen zwei Zuschriften vor, die Mißstände im Schulbereich bestätigen. Die sind allerdings so speziell, dass schon alleine ein Zitat für die Hinweisgeber unangenehme Folgen haben könnte.


Veröffentlicht am 22.02.2023, zuletzt geändert am 03.03.2023, Reaktionen 28.02.2023

© 2023 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.