Angriff auf Karlsruher Schulen
Seit dem 13.02.2023 geht es durch die Medien und insbesondere auch die lokale Zeitung Badische Neueste Nachrichten (BNN). Karlsruher Schulen wurden gehackt. Eine Auswahl der Online-Links:
- Stadt Karlsruhe informiert über Hackerangriff auf Schulen (Stadt Karlsruhe, 13.02.2023)
- Warum die Server der Karlsruher Schulen besser geschützt werden müssen (BNN, 13.02.2023)
- Cyberattacken auf sieben Schulen in Karlsruhe (Heise, 14.02.2023)
- Aktuelle Information zum Hackerangriff auf Karlsruher Schulen (Stadt Karlsruhe, 14.02.2023)
- Hacker-Angriff in Karlsruhe: Waren Schulrechner nicht ausreichend gesichert? (BNN, 15.02.2023)
- Nach Hackerangriff: Eine Sicherheitslücke an Karlsruher Schulen war seit Jahren bekannt (BNN, 16.02.2023)
- Hacker-Angriff auf Karlsruher Schulen: Eltern bemängeln zögerliche Information (BNN, 16.02.2023)
- Aktuelle Information zur Aufarbeitung des Hackerangriffs auf Karlsruher Schulen (Stadt Karlsruhe, 17.02.2023)
- Karlsruher Schulen bleiben nach dem Hacker-Angriff mindestens bis März offline (BNN, 17.02.2023)
- Nach Hackerangriff: Stadt Karlsruhe will erste Schulen nach den Ferien wieder ins Netz lassen (BNN, 24.02.2023)
Auf Spurensuche findet man, dass
- VMware ESXi im Einsatz ist,
- Sicherheitspatches nicht eingespielt wurden,
- unklar ist, ob es ausreichende Datensicherungen gibt.
Die Sicherheit von VMware ESXi hängt – wie der Hersteller schreibt – von der Netzwerk- und damit Gebäudesicherheit ab. Schulen sind aber keine Bunker sondern vergleichsweise offen, da gehört so eine Lösung meiner Meinung nach gar nicht hin.
Und dann unterlässt man es auch noch Sicherheitspatches einzuspielen – fatal. Die Schulen waren aller Wahrscheinlichkeit nicht das Ziel einer gezielten Attacke, sondern die Angreifer haben nur nach erreichbaren verwundbaren Systemen gesucht. Das ist ein Muster, das spätestens seit Wanna Cry bekannt sein muss – eine Sicherheitslücke, für die es bereits einen Patch gibt, wird ausgenutzt. Man muss sich klarmachen, dass sobald ein Sicherheitspatch veröffentlicht wird, Forscher und Angreifer die Änderungen analysieren und damit klar wird, welches Problem korrigiert wurde und es beginnt die Suche nach möglichen Angriffswegen und nach Möglichkeiten, verwundbare Systeme zu identifizieren. Je länger man mit dem Einspielen von Sicherheitspatches wartet, desto wahrscheinlicher findet ein auch nur mittelmäßig begabter Angreifer so ein System.
Und dann soll es mindestens zwei Wochen dauern, bis die Schulen wieder arbeiten können? Hat man denn keine Datensicherung die man auf anderer Hardware zum Einsatz bringen kann?
Am 15.02. habe ich bei der Stadt Karlsruhe und nach Kommentaren auf Heise auch beim Dienstleister Landesmedienzentrum Baden-Württemberg angefragt, ob es ob die Schulen überhaupt ein Sicherheitskonzept haben, und ggfs. auf welchem Niveau.
Antworten stehen noch aus. Die BNN zitiert Alexander Salomon (Grüne) Im Grunde braucht jede Schule einen IT-Sicherheitsbeauftragten
. Der muss dann aber auch geeignet ausgebildet sein, genügend Zeit haben, und sich durchsetzen können – das klingt nicht nach einem Lehrer der IT im Nebenberuf mitmacht.
Ein Problem kommt selten allein...
Ergänzt am 03.03.2023.
Nutzung privater Computer
In Nach Hackerangriff: Stadt Karlsruhe will erste Schulen nach den Ferien wieder ins Netz lassen (BNN, 24.02.2023) schreibt die BNN, dass eine Schulleiterin ihren privaten Computer verwendet hat. Die Nutzung privater Geräte stellt in meinen Augen ein erhebliches Risiko dar, wie ich schon in Nutzung privater Mittel durch die Organisation vs. private Nutzung von Mitteln der Organisation beschrieben habe. Leider ist das nicht nur die private Initiative der Schulleiterin, sondern es scheint sogar eine Anleitung dafür zu geben – die man mir nicht geben will, vermutlich weil sie nicht angemessen mit dem Problem umgeht.
Dank der ausweichenden Antwort finde ich aber das Dokument Einrichtung der Schulmailpostfächer, und leider findet sich darin kein Hinweis auf Verschlüsselung. Ob die erzwungen wird, kann ich leider nicht ausprobieren, denn der Mailserver ist nicht direkt aus dem Internet erreichbar. Es würde mich nicht überraschen wenn Verschlüsselung nicht erzwungen wird und damit ein Mitlesen innerhalb der Schule möglich ist.
Probleme bei der Schulverwaltungssoftware
Auf der Schulverwaltungsseite des Institut für Bildungsanalysen Baden-Württemberg finde ich einen Download der Schulverwaltungssoftware, die anscheinend jede öffentliche Schule in Baden-Württemberg im Einsatz hat. Ich habe die auf einer Testmaschine installiert, und finde eine veraltete Java-Version, keine Anleitung zur Aktivierung von Verschlüsselung, und andere Fragwürdigkeiten – aber man beantwortet meine Fragen nicht.
Wer ist verantwortlich?
Die Pressesprecherin des Landesdatenschutzbeauftragte schreibt am 23.02., die Schulen seien verantwortlich. Ich darf das in Frage stellen, denn die Stadtverwaltung und das Land Baden-Württemberg scheinen wesentliche Verarbeitungen inhaltlich oder über die bereitgestellten Mittel zu bestimmen, so dass sie meiner Meinung nach Artikel 28 Abs. 10 als Verantwortliche im Sinne der DSGVO anzusehen sind. Auch ist der behördliche Datenschutzbeauftragte der Schulen ein Mitarbeiter des Landes, und darin sehe ich zumindest die Möglichkeit von Interessenskonflikten.
Kommunikation (Auszug)
| Datum/Zeit | Sender | Empfänger | Thema |
|---|---|---|---|
Zum Hackerangriff | |||
| 15.02.2023 18:32 | Joachim Lindenberg | Stadt Karlsruhe | Bestätigung Ihrer Medienanfrage zum Thema Hackerangriff auf Karlsruher Schulen |
| 16.02.2023 12:26 | Joachim Lindenberg | Landesmedienzentrum Baden-Württemberg | WG Bestätigung Ihrer Medienanfrage zum Thema Hackerangriff auf Karlsruhe...chulen |
| 16.02.2023 13:53 | Stadt Karlsruhe | Joachim Lindenberg | Re Medienanfrage zu Hackerangriff auf Karlsruher Schulen |
| 16.02.2023 15:12 | Joachim Lindenberg | Stadt Karlsruhe | Re Medienanfrage zu Hackerangriff auf Karlsruher Schulen |
| 17.02.2023 13:32 | Stadt Karlsruhe | Joachim Lindenberg | Re Medienanfrage zu Hackerangriff auf Karlsruher Schulen |
| 17.02.2023 13:41 | Joachim Lindenberg | Stadt Karlsruhe | Re Medienanfrage zu Hackerangriff auf Karlsruher Schulen |
| 20.02.2023 14:10 | Joachim Lindenberg | Stadt Karlsruhe, Landesmedienzentrum Baden-Württemberg | Re Medienanfrage zu Hackerangriff auf Karlsruher Schulen |
| 20.02.2023 15:24 | Stadt Karlsruhe | Joachim Lindenberg | Re Medienanfrage zu Hackerangriff auf Karlsruher Schulen |
| 20.02.2023 17:06 | Joachim Lindenberg | Betroffene Schulen | Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 20.02.2023 17:25 | Joachim Lindenberg | Elternvertreter | WG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 21.02.2023 12:46 | Schulleiter | Joachim Lindenberg | Re EXTERN Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 21.02.2023 15:09 | Joachim Lindenberg | Schulleiter | Re EXTERN Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 21.02.2023 15:33 | Schulleiter | Joachim Lindenberg | Re EXTERN Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 22.02.2023 13:46 | Stadt Karlsruhe | Joachim Lindenberg | Sicherheitskonzepts an Karlsruher Schulen |
| 22.02.2023 15:03 | Joachim Lindenberg | Stadt Karlsruhe | Re Sicherheitskonzepts an Karlsruher Schulen |
| 22.02.2023 15:29 | Joachim Lindenberg | Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg | WG Sicherheitskonzepts an Karlsruher Schulen |
| 23.02.2023 11:40 | Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg | Joachim Lindenberg | Re EXTERN WG Sicherheitskonzepts an Karlsruher Schulen |
| 23.02.2023 12:03 | Joachim Lindenberg | Stadt Karlsruhe | Fwd EXTERN WG Sicherheitskonzepts an Karlsruher Schulen |
| 28.02.2023 10:42 | Joachim Lindenberg | Stadt Karlsruhe | EXTERN WG Sicherheitskonzepts an Karlsruher Schulen |
| 28.02.2023 11:03 | Stadt Karlsruhe | Joachim Lindenberg | Sicherheitskonzepts an Karlsruher Schulen |
| 03.03.2023 10:25 | Joachim Lindenberg | Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg | Re EXTERN WG Sicherheitskonzepts an Karlsruher Schulen |
| 08.03.2023 16:47 | Stadt Karlsruhe | Joachim Lindenberg | Ihre Anfrage zu Karlsruher Schulen zur Auftragsverarbeitung |
| 08.03.2023 17:14 | Joachim Lindenberg | Stadt Karlsruhe | Re Ihre Anfrage zu Karlsruher Schulen zur Auftragsverarbeitung |
Zur Nutzung privater Computer | |||
| 27.02.2023 12:18 | Joachim Lindenberg | Melanie Erndwein | Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 27.02.2023 12:44 | Melanie Erndwein | Joachim Lindenberg | Re Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 28.02.2023 10:42 | Joachim Lindenberg | Stadt Karlsruhe | WG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 28.02.2023 10:57 | Joachim Lindenberg | Datenschutzbeauftragter | WG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 28.02.2023 12:45 | Datenschutzbeauftragter | Joachim Lindenberg | Re EXTERN WG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 28.02.2023 14:21 | Stadt Karlsruhe | Joachim Lindenberg | Re Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 28.02.2023 14:46 | Joachim Lindenberg | Stadt Karlsruhe | WG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 28.02.2023 15:03 | Joachim Lindenberg | Datenschutzbeauftragter | Re EXTERN WG Pressenanfrage zu Hackerangriff auf Karlsruher Schulen |
| 01.03.2023 09:18 | Stadt Karlsruhe | Joachim Lindenberg | Ihre Presseanfrage zu 'IT-Anleitung' |
| 02.03.2023 12:02 | Joachim Lindenberg | Stadt Karlsruhe | Re Ihre Presseanfrage zu 'IT-Anleitung' |
| 02.03.2023 16:11 | Stadt Karlsruhe | Joachim Lindenberg | WG Ihre Presseanfrage zu 'IT-Anleitung' |
| 15.03.2023 08:49 | Joachim Lindenberg | Ministerium für Kultus und Sport Baden-Württemberg | Nutzung privater Geräte und Auftragsverarbeitung durch Lehrer |
Zur Sicherheit der Software ASV-BW | |||
| 28.02.2023 13:23 | Joachim Lindenberg | Institut für Bildungsanalysen Baden-Württemberg | Presseanfrage zu ASV-BW |
| 03.03.2023 10:23 | Joachim Lindenberg | Institut für Bildungsanalysen Baden-Württemberg | Re Presseanfrage zu ASV-BW |
| 22.03.2023 16:46 | Institut für Bildungsanalysen Baden-Württemberg | Joachim Lindenberg | Re EXTERN Presseanfrage zu ASV-BW |
| 22.03.2023 16:51 | Joachim Lindenberg | Institut für Bildungsanalysen Baden-Württemberg | Re EXTERN Presseanfrage zu ASV-BW |
Veröffentlicht am 22.02.2023, zuletzt geändert am 02.03.2023.
© 2023 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.