In den USA veröffentlichten Hacker jetzt einen 500GB umfassenden Datensatz aus einem Ransomware Angriff auf Schulen in Los Angeles, wie TechCrunch in einem Beitrag vom 03.09.2022 unter dem Titel „Hackers leak 500GB trove of data stolen during LAUSD ransomware attack“ berichtet. Die Russisch sprechen Hacker hatten den Schulamtsbezirk des Großraums Los Angeles erpresst und eine Frist bis zum 4. Oktober gesetzt. Die auf Dark Web Webseiten der Vice Group veröffentlichen Daten enthalten persönliche Informationen wie Personalausweisdaten, Sozialversicherungsnummern und Steuerdaten. Enthalten sind auch Rechtsdokumente, Finanzberichte mit Kontodetails sowie Gesundheitsinformationen, Auszüge aus dem Strafregister und psychologische Beurteilungen von Schülerinnen und Schülern. Vice Group ist eine Hackergruppe, die sich auf Schulen und andere Bildungseinrichtungen spezialisiert hat. 2022 gehen bereits acht andere Angriffe auf Schulbezirke, Colleges und Universitäten auf das Konto der Hackergruppe. Mit ihrem Angriff hatten die Hacker Zugriff auf E-Mail Konten, Computersysteme und Anwendungen erhalten. Die bisher bekannt gewordenen Daten stellen nur einen Teil der erbeuteten Daten von den mehr als 1.000 Schulen und 600.000 Schülerinnen und Schülern des größten Schulamtsbezirk der USA da. Verantwortliche können nicht sagen, welche weiteren Daten die Hacker möglicherweise noch veröffentlichen werden.
Bewertung
Auch wenn dieser Hacker Angriff in den USA stattgefunden hat, so zeigt er doch recht deutlich, welche Gefahren von Hackern ausgehen können, egal wie diese sich Zugang zu schulischen Systemen verschaffen. Auch in Europa und auch in Deutschland hat es schon Ransomware Angriffe gegeben. Diese trafen Unternehmen wie auch öffentliche Einrichtungen. Auch Schulen können Ziel solcher Angriffen sein. Die Risiken sind beträchtlich, wenn Hacker Zugriff auf die Datenbanken von Schulverwaltungsprogramm and erhalten. Es ist deshalb wichtig, dass sowohl die Mitarbeiterinnen und Mitarbeiter der Schulsekretariate wie auch Schulleitungsmitglieder, welche die Berechtigungen im System haben, auf alle oder größere Teilmengen von Daten zuzugreifen, entsprechend sensibilisiert werden. Bei Mitarbeiterinnen und Mitarbeitern der Schulsekretariate, die in der Regel Mitarbeiter der kommunalen Verwaltung sind, wird diese Sensibilisierung in den meisten Fällen durch den Schulträger selbst vorgenommen. Mitglieder der Schulleitung müssen sich entweder selbst schlau machen oder sich an ihre behördlich bestellten Datenschutzbeauftragten mit der Bitte um eine Schulung wenden. Ergänzt werden sollten diese organisatorischen Maßnahmen durch passende technische Maßnahmen. Dazu gehören regelmäßige Backups, Verschlüsselung der Systeme und der Datenbanken wie auch Trennung von Zugangs- und Inhaltsdaten. Außerdem sollten Berechtigungen zum Zugriff in Orientierung an den Aufgaben einer Person auf das dafür Erforderliche beschränkt sein.