Zeugnisse, Anwesenheitslisten, Beurteilungen, Gesundheitsdaten – der Datensatz, den die Erpresser an über 40 rheinland-pfälzischen Schulen erbeuteten, umfasst alle Aspekte einer Schulverwaltung. Allein die Dateiliste umfasst 500 MByte und listet 2,2 Millionen Dateien von der Excel-Tabelle bis zum Video vom Schulausflug auf. Insgesamt veröffentlichten die Kriminellen Ende Januar über 2 Terabyte gestohlener Daten, viele davon höchst sensibel. Nun hat ein Betroffener mit seinem Anwalt Beschwerde bei der zuständigen Aufsichtsbehörde eingelegt und sowohl der betroffene IT-Dienstleister als auch die Stadt Speyer reagierten auf die Veröffentlichung.

In einer auf den 5. März datierten Pressemitteilung bestätigt die verantwortliche Topackt IT Solutions GmbH: „Seit gestern liegt nun die Bestätigung vor, dass die abgegriffenen Daten von einer bekannten Hackergruppierung im Darknet veröffentlicht wurden und dort zugänglich sind.“ Man sichte jetzt alle Daten und werde danach die „betroffenen Stellen gezielt und transparent über den Umfang der jeweiligen Daten informieren“. Überdies mahnt das Unternehmen zur Zurückhaltung, um „keine zusätzliche Aufmerksamkeit auf die Daten zu lenken und eine weitere Verbreitung zu verhindern“.

Schüler meldet Sicherheitsprobleme

Bereits einen Tag zuvor hatte die Stadt Speyer in einer knappen Erklärung ebenfalls eine Prüfung der geleakten Daten angekündigt. Einem Betroffenen ging diese „sorgfältige Prüfung“ jedoch nicht schnell genug. Der ehemalige Schüler einer Speyerer Schule begab sich im Darknet auf Spurensuche und entdeckte seine Kontaktdaten, Fehlstunden und weitere Informationen aus seiner Schullaufbahn auf der Leaksite der Lockbit-Ransomware. Er erhebt über seinen Anwalt in einer Beschwerde an den Datenschutzbeauftragten des Landes Rheinland-Pfalz schwere Vorwürfe.

So habe er bereits während seiner Schulzeit Ende 2023 Sicherheitsprobleme beim Server seiner Schule an den Dienstleister gemeldet, habe sich jedoch abgewimmelt gefühlt. Seine Eindrücke schildert der ehemalige Schüler heise security wie folgt: „Der IT-Dienstleister hat das aber sehr heruntergespielt – man brauche ja kriminelle Energie, um so etwas zu tun und es gebe ja nicht viele Schüler, die sowas können“. Getan habe sich überdies seinem Eindruck nach wenig. Das Schüler-WLAN sei eingeschränkt, eine Datei mit Klartextpasswörtern verschlüsselt und manche Benutzerpasswörter geändert worden. Ein Angebot des damaligen Schülers, die Sicherheit des Schulservers erneut zu testen, sei im Sande verlaufen.

Etwa ein Jahr später, im Januar 2025, griff ein „Affiliate“ der Lockbit-Ransomware den Dienstleister Topackt an und verschlüsselte insgesamt 45 Server. Wie für die Gruppierung üblich, legten die Kriminellen eine Kopie der Daten an und schleusten sie aus dem Netz – sie forderten Topackt zudem über ihre Leaksite auf, bis zum 30. Januar Kontakt aufzunehmen. Bereits damals bestätigte das Unternehmen heise security den Angriff und die Identität der Angreifer – warum man bei Lockbit über ein Jahr mit der Veröffentlichung wartete, bleibt unklar.

Der Beschwerdeführer ist mittlerweile kein Schüler mehr, sondern arbeitet bei einem Bamberger Unternehmen für IT-Sicherheit. Er wirft der Stadt Speyer sowie Topackt vor, nicht die notwendigen Schritte unternommen zu haben, um Datensicherheit herzustellen. Außerdem, so sein Anwalt in dem Schreiben, habe die Stadt Betroffene unvollständig informiert. So „wurden diese nicht über den Umfang des Vorfalls benachrichtigt und haben nicht (!) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten erhalten“, schreibt Anwalt Maisch.

Wir haben uns die veröffentlichten Daten stichprobenartig angesehen. Sie entsprechen dem, was wir auf PCs einer Schulverwaltung erwarten würden – und leider lassen einige Dateien tief ins Sicherheitsniveau der angeschlossenen Schulen, womöglich aber auch des Dienstleisters blicken. So vergaben viele Schulen offenbar die Kennwörter für ihre Schüler offenbar nach einem leicht erratbaren Muster, das nicht dem Stand der Technik entspricht, für jeden Mitschüler offensichtlich ist – wohl aber nervigen IT-Support ersparen hilft. Über sechshundert Konten hatten zudem dasselbe sechsstellige kleinbuchstabige Passwort und auch die berüchtigten Kennwörter „123456“, „start“ und „test“ gaben bei mehreren hundert Konten ein Stelldichein. Immerhin 31 Mal wurde das datensparsamste Passwort „1“ vergeben – es lässt sich notfalls in einer Datenstruktur von einem Bit speichern.

Wir fanden Beurteilungen und Dienstzeugnisse von Lehrkräften sowie Fotos und Videos von Schulausflügen. In den falschen Händen ergeben die Daten Ansatzpunkte für Identitätsdiebstahl und Cybermobbing. Zu Geld machen konnte Lockbit sie jedoch offenbar nicht. Zu begrenzt ist ihr Einsatzfeld.

Dienstleister wehrt sich gegen Vorwürfe

Wir baten Topackt um eine Stellungnahme zu unseren Beobachtungen und den Vorwürfen des ehemaligen Schülers. Topackt-Geschäftsführer Michael Nist antwortete uns sehr ausführlich und schilderte detailliert, wie es zu dem Sicherheits-Lapsus kommen konnte. So sei das sechsbuchstabige Standardpasswort für automatisch installierte Systeme voreingestellt gewesen und die Kennwortrichtlinien zum Teil mit Schulen individuell vereinbart. Das sei auch notwendig, um den unterschiedlichen IT-Fähigkeiten der Schüler und Schülerinnen Rechnung zu tragen. Bereits seit dem Angriff im Jahr 2025 habe man Schulen darauf hingewiesen, dringend alle Passwörter zu ändern.

Nist widersprach jedoch vehement der Darstellung des Betroffenen. Man sei respektvoll mit ihm umgegangen, habe jedoch darauf hingewiesen, dass nur wenige Mitschüler die Fachkenntnisse des damals 17-Jährigen besäßen. Und man habe unmittelbar reagiert – einige Änderungen hätten jedoch zu Störungen im Schulbetrieb geführt und nicht zuletzt erhebliche Kosten für die Schulträger verursacht. Nist sagte heise security: „Wir weisen daher die Anschuldigung, es habe sich nichts verändert, entschieden zurück.“ Zudem habe Topackt mittlerweile seine Sicherheitsarchitektur runderneuert, Zugriffe eingeschränkt und bei einigen Schulträgern EDR-Lösungen etabliert.

Wie der Lockbit-Affiliate ins Schulnetz habe eindringen können, habe weder Topackt noch das LKA ermitteln können, sagte Nist. Vermutlich habe der Täter über einen Phishingangriff Zugriff erhalten, der Angriff habe jedoch nichts mit der durch den Ex-Schüler Jahre zuvor demonstrierten Sicherheitslücke zu tun. Diese habe nämlich auf physischer Anwesenheit in einer Schule beruht.

(cku)

Donnerstag der 12. März, abends, Bahnhofsviertel von Frankfurt am Main. Die Polizei macht mal wieder Razzia, mit 200 Mann. Als der hessische CDU-Ministerpräsident Boris Rhein und sein CDU-Innenminister Roman Poseck die Szene betreten, haben die Polizist*innen schon alles angerichtet: 40 bis 50 Menschen stehen mit der Stirn zur Wand, die Hände auf dem Rücken, sie werden von Polizist*innen durchsucht, so berichtet es die Frankfurter Neue Presse.

Demnach wurden an dem Abend 414 Menschen kontrolliert, bei 36 fand man illegale Drogen, stellte Verstöße gegen die Waffenverbotszone oder das Aufenthaltsgesetz fest. Solche Großrazzien gibt es im Frankfurter Bahnhofsviertel regelmäßig. Für die zwei CDU-Landespolitiker bot die Inszenierung dennoch etwas ganz Besonderes.

Dabei wurde nämlich ein neues Polizei-Instrument vorgestellt. Eine App, die Menschen identifizieren kann. GES-App heißt die. Frankfurt ist seit einigen Wochen Testgelände dafür. Angeblich wurde sie bereits mehrfach erfolgreich eingesetzt. Dass die Polizei so etwas nutzt, ist bundesweit einmalig. Bisher kennt man es vor allem von us-amerikanischen ICE-Beamt*innen, dass sie bei Kontrollen Menschen mit Handykameras identifizieren.

Foto-Datenbank von 5,5 Millionen Menschen

Frankfurter Polizist*innen fotografieren Verdächtige, die sich nicht ausweisen können oder wollen, mit ihren Dienst-Telefonen. Die GES-App wirft die Bilder in die Gesichtersuchmaschine des BKA, die gleicht sie mit Bildern von fast 5,5 Millionen Menschen ab. Sie stammen aus der Polizeidatenbank INPOL. Dort sind Menschen mit Bild gespeichert, die erkennungsdienstlich behandelt wurden, aber auch weitere Bilder, die die Polizei im Rahmen von Ermittlungen erstellt oder beschlagnahmt hat.

Gibt es einen Treffer, erscheinen auf dem Display des Dienst-Telefons Name und Geburtsdatum der fotografierten Person und womöglich weitere Informationen. In INPOL werden unter anderem gespeichert: Vergleichsfotos, die Info, ob nach der Person gefahndet wird, personengebundene Hinweise wie etwa „Ansteckungsgefahr“ oder „Psychische und Verhaltensstörung“.

Die App ist ein Gemeinschaftsprojekt des hessischen Landeskriminalamts, des Bundeskriminalamts und einer Innovations-Abteilung der hessischen Polizei. Der hessische Innenminister berichtet bei seinem Besuch in Frankfurt, dass man bundesweit neidisch auf die High-Tech-Überwachung schaue, die dort aufgebaut wird. Es ist wohl nicht unwahrscheinlich, dass auch weitere hessische und bundesdeutsche Polizeipräsidien die GES-App einführen.

Frankfurt, das Reallabor für die GES-App, war auch ohne diese schon Gesichtserkennungs-Frontstadt. Im Bahnhofsviertel ist seit Sommer 2025 – ebenfalls bundesweit einmalig – Live-Gesichtserkennung mit festinstallierten Videokameras im Einsatz.

Die weiterhin hohen Benzin- und Dieselpreise nutzen Spammer derzeit, um damit Opfern nutzlose OBD2-Dongles anzudrehen. Die sollen den Motor so manipulieren, dass er weniger Sprit verbraucht. Das geht jedoch gar nicht, es handelt sich um nutzlose Stecker für die OBD2-Buchse.

Die Versprechen in der Spam-Mail klingen auf den ersten Blick möglicherweise plausibel: Steuergerät-Konfigurationen seien „bewusst konservativ“ gewählt, führten jedoch angeblich dazu, dass „deutsche Autofahrer deswegen Tausende Euro an verschwendetem Sprit zahlen“. Der Grund für den angeblich unnötigen Mehrverbrauch – die Spam-Mail behauptet, bis zu 35 Prozent des Kraftstoffs würden verschwendet – sei, dass Hersteller „Motoren für die breitestmoegliche Palette von Bedingungen, nicht für Ihre spezifischen Fahrgewohnheiten“ kalibrierten.

Weniger Spritverbrauch und ein ruhigeres Fahrgefühl

Die Betrüger behaupten, dass der „kompakte Chip“ in den OBD2-Anschluss des Autos gesteckt werde und der dort dann die „Motorsteuergerät-Daten in Echtzeit“ analysiere. Darauf basierend passe er „Einspritzung, Ladedruck und Zuendzeitpunkt an Ihren Fahrstil an“. Das bringt auf einmal sogar bis zu „55 Prozent weniger Spritverbrauch, ein ruhigeres Fahrgefuehl und Einsparungen, die sich innerhalb von 30 Tagen amortisieren“. Laut mitgelieferter Anleitung in der Spam-Mail findet die Kalibrierung innerhalb von 30 Sekunden statt, in denen man die Zündung einschalten und „halten“ solle. Der Dongle lerne dann bei der normalen Fahrt und passe sich an.

Druck auf Opfer durch angeblich „begrenzten Bestand“

Damit Opfer nicht so lange fackeln und nachdenken, baut die Spam-Mail zeitlichen Druck auf. Im Einzelhandel seien diese Dongles derzeit ausverkauft, sie seien daher nur online erhältlich. Der Bestand sei zudem „extrem begrenzt“. Zusammen mit dem nicht sonderlich hohen Preis von rund 30 Euro könnte das einige verlocken, auf dieses Angebot hereinzufallen.

Einige Hinweise in der E-Mail deuten jedoch darauf hin, dass es sich nicht um ein seriöses Angebot handeln kann. Die abweichenden Versprechungen zu den Einsparungen, die einmal 35 Prozent und dann später sogar 55 Prozent betragen sollen, sind noch am deutlichsten. Die angeblich veränderten Parameter kommen aus konkreten Kennfeldern der jeweiligen Motoren, sie sollen die Verbrennung bezüglich Leistung und insbesondere der Abgasnachbehandlung optimieren. Eingriffe darin würden zu veränderten Rohemissionen führen, die Katalysatoren nicht hinreichend bearbeiten können. Im Extremfall würden sie die Betriebserlaubnis erlöschen lassen.

Wie das alles genau funktionieren soll, erklärt das Angebot nicht. Jeder Hersteller hat eigene Kennfelder für die Parameter der Motorsteuerung, teils auch fahrzeugspezifische Register in der OBD2-Datenausgabe. Die müsste ein Dongle alle kennen oder zumindest eine Kompatibilitätsliste mitbringen.

Keine neue Betrugsidee

Die c’t hat sich derartige Dongles mal genauer angesehen, die sich dabei als „fabrikfrischer Elektroschrott“ entlarvten. Immerhin versprachen die jedoch „lediglich“ 15 Prozent Spriteinsparungen. Auch der Blick auf die Hardware und konkrete Tests zeigten: Da laufen keine bidirektionalen Kommunikationssignale über die OBD2-Schnittstelle. Das bewies der Blick auf das angeschlossene Oszilloskop. Es blinken nur ein paar LEDs nach Anschluss der 12-Volt-Versorgung.

Eine derart einfache Lösung zur Senkung des Verbrauchs für die derzeit hohen Spritpreise ohne Änderung der Gewohnheiten gibt es nicht. Was jedoch beim Spritsparen tatsächlich hilft: Das Auto stehen lassen und etwa per Pedes, mit dem Rad oder den Öffis die Strecken bewältigen.

(dmk)