Schuldaten im Darknet veröffentlicht: Betroffener reicht Beschwerde ein

Zeugnisse, Anwesenheitslisten, Beurteilungen, Gesundheitsdaten – der Datensatz, den die Erpresser an über 40 rheinland-pfälzischen Schulen erbeuteten, umfasst alle Aspekte einer Schulverwaltung. Allein die Dateiliste umfasst 500 MByte und listet 2,2 Millionen Dateien von der Excel-Tabelle bis zum Video vom Schulausflug auf. Insgesamt veröffentlichten die Kriminellen Ende Januar über 2 Terabyte gestohlener Daten, viele davon höchst sensibel. Nun hat ein Betroffener mit seinem Anwalt Beschwerde bei der zuständigen Aufsichtsbehörde eingelegt und sowohl der betroffene IT-Dienstleister als auch die Stadt Speyer reagierten auf die Veröffentlichung.

In einer auf den 5. März datierten Pressemitteilung bestätigt die verantwortliche Topackt IT Solutions GmbH: „Seit gestern liegt nun die Bestätigung vor, dass die abgegriffenen Daten von einer bekannten Hackergruppierung im Darknet veröffentlicht wurden und dort zugänglich sind.“ Man sichte jetzt alle Daten und werde danach die „betroffenen Stellen gezielt und transparent über den Umfang der jeweiligen Daten informieren“. Überdies mahnt das Unternehmen zur Zurückhaltung, um „keine zusätzliche Aufmerksamkeit auf die Daten zu lenken und eine weitere Verbreitung zu verhindern“.

Schüler meldet Sicherheitsprobleme

Bereits einen Tag zuvor hatte die Stadt Speyer in einer knappen Erklärung ebenfalls eine Prüfung der geleakten Daten angekündigt. Einem Betroffenen ging diese „sorgfältige Prüfung“ jedoch nicht schnell genug. Der ehemalige Schüler einer Speyerer Schule begab sich im Darknet auf Spurensuche und entdeckte seine Kontaktdaten, Fehlstunden und weitere Informationen aus seiner Schullaufbahn auf der Leaksite der Lockbit-Ransomware. Er erhebt über seinen Anwalt in einer Beschwerde an den Datenschutzbeauftragten des Landes Rheinland-Pfalz schwere Vorwürfe.

So habe er bereits während seiner Schulzeit Ende 2023 Sicherheitsprobleme beim Server seiner Schule an den Dienstleister gemeldet, habe sich jedoch abgewimmelt gefühlt. Seine Eindrücke schildert der ehemalige Schüler heise security wie folgt: „Der IT-Dienstleister hat das aber sehr heruntergespielt – man brauche ja kriminelle Energie, um so etwas zu tun und es gebe ja nicht viele Schüler, die sowas können“. Getan habe sich überdies seinem Eindruck nach wenig. Das Schüler-WLAN sei eingeschränkt, eine Datei mit Klartextpasswörtern verschlüsselt und manche Benutzerpasswörter geändert worden. Ein Angebot des damaligen Schülers, die Sicherheit des Schulservers erneut zu testen, sei im Sande verlaufen.

Etwa ein Jahr später, im Januar 2025, griff ein „Affiliate“ der Lockbit-Ransomware den Dienstleister Topackt an und verschlüsselte insgesamt 45 Server. Wie für die Gruppierung üblich, legten die Kriminellen eine Kopie der Daten an und schleusten sie aus dem Netz – sie forderten Topackt zudem über ihre Leaksite auf, bis zum 30. Januar Kontakt aufzunehmen. Bereits damals bestätigte das Unternehmen heise security den Angriff und die Identität der Angreifer – warum man bei Lockbit über ein Jahr mit der Veröffentlichung wartete, bleibt unklar.

Der Beschwerdeführer ist mittlerweile kein Schüler mehr, sondern arbeitet bei einem Bamberger Unternehmen für IT-Sicherheit. Er wirft der Stadt Speyer sowie Topackt vor, nicht die notwendigen Schritte unternommen zu haben, um Datensicherheit herzustellen. Außerdem, so sein Anwalt in dem Schreiben, habe die Stadt Betroffene unvollständig informiert. So „wurden diese nicht über den Umfang des Vorfalls benachrichtigt und haben nicht (!) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten erhalten“, schreibt Anwalt Maisch.

Wir haben uns die veröffentlichten Daten stichprobenartig angesehen. Sie entsprechen dem, was wir auf PCs einer Schulverwaltung erwarten würden – und leider lassen einige Dateien tief ins Sicherheitsniveau der angeschlossenen Schulen, womöglich aber auch des Dienstleisters blicken. So vergaben viele Schulen offenbar die Kennwörter für ihre Schüler offenbar nach einem leicht erratbaren Muster, das nicht dem Stand der Technik entspricht, für jeden Mitschüler offensichtlich ist – wohl aber nervigen IT-Support ersparen hilft. Über sechshundert Konten hatten zudem dasselbe sechsstellige kleinbuchstabige Passwort und auch die berüchtigten Kennwörter „123456“, „start“ und „test“ gaben bei mehreren hundert Konten ein Stelldichein. Immerhin 31 Mal wurde das datensparsamste Passwort „1“ vergeben – es lässt sich notfalls in einer Datenstruktur von einem Bit speichern.

Wir fanden Beurteilungen und Dienstzeugnisse von Lehrkräften sowie Fotos und Videos von Schulausflügen. In den falschen Händen ergeben die Daten Ansatzpunkte für Identitätsdiebstahl und Cybermobbing. Zu Geld machen konnte Lockbit sie jedoch offenbar nicht. Zu begrenzt ist ihr Einsatzfeld.

Dienstleister wehrt sich gegen Vorwürfe

Wir baten Topackt um eine Stellungnahme zu unseren Beobachtungen und den Vorwürfen des ehemaligen Schülers. Topackt-Geschäftsführer Michael Nist antwortete uns sehr ausführlich und schilderte detailliert, wie es zu dem Sicherheits-Lapsus kommen konnte. So sei das sechsbuchstabige Standardpasswort für automatisch installierte Systeme voreingestellt gewesen und die Kennwortrichtlinien zum Teil mit Schulen individuell vereinbart. Das sei auch notwendig, um den unterschiedlichen IT-Fähigkeiten der Schüler und Schülerinnen Rechnung zu tragen. Bereits seit dem Angriff im Jahr 2025 habe man Schulen darauf hingewiesen, dringend alle Passwörter zu ändern.

Nist widersprach jedoch vehement der Darstellung des Betroffenen. Man sei respektvoll mit ihm umgegangen, habe jedoch darauf hingewiesen, dass nur wenige Mitschüler die Fachkenntnisse des damals 17-Jährigen besäßen. Und man habe unmittelbar reagiert – einige Änderungen hätten jedoch zu Störungen im Schulbetrieb geführt und nicht zuletzt erhebliche Kosten für die Schulträger verursacht. Nist sagte heise security: „Wir weisen daher die Anschuldigung, es habe sich nichts verändert, entschieden zurück.“ Zudem habe Topackt mittlerweile seine Sicherheitsarchitektur runderneuert, Zugriffe eingeschränkt und bei einigen Schulträgern EDR-Lösungen etabliert.

Wie der Lockbit-Affiliate ins Schulnetz habe eindringen können, habe weder Topackt noch das LKA ermitteln können, sagte Nist. Vermutlich habe der Täter über einen Phishingangriff Zugriff erhalten, der Angriff habe jedoch nichts mit der durch den Ex-Schüler Jahre zuvor demonstrierten Sicherheitslücke zu tun. Diese habe nämlich auf physischer Anwesenheit in einer Schule beruht.

(cku)