Wie die Stadt Nürnberg am 09.12.2022 in einer Pressemeldung mit dem Titel IT-Vorfall im Schulbereich: Zugangsdaten von Computern abgefischt mitteilte, gelang es Unbekannten, die Office-Zugangsdaten von 16 Lehrer- und Schüler-Accounts (Benutzernamen und Passwörter) aus 11 Schulen (Realschulen, Berufsschulen und Gymnasien) zu stehlen. Der Datendiebstahl erfolgte vermutlich über Phishing mit gefälschten Internetseiten oder Mails. Die Täter boten die erbeuteten Daten anschließend im Darknet zum Verkauf an, wo eine von der Stadt beauftragter IT-Sicherheitsdienstleister auf die Daten aufmerksam wurde und darauf hin die Stadt am selben Tag, an dem auch die Pressemeldung verfasst wurde, informierte. Schäden, die sich aus dem Diebstahl der Zugangsdaten ergeben haben könnten, sind nicht bekannt. Die Stadt informierte die Schulen sowie den Ministerialbeauftragten bei der Regierung von Mittelfranken über den Vorfall und meldete ihn an den Landesdatenschutzbeauftragten und die Sicherheitsbehörden. Als Sicherheitsmaßnahme wurden die Zugänge von insgesamt 10.000 Lehrer- und Schüler-Accounts gesperrt. Laut den Nürnberger Nachrichten arbeiteten IT-Spezialisten über das Wochenende daran, verdächtige Konten zu identifizieren. Unverdächtige Konten wurden danach wieder freigegeben. Durch Zurücksetzen der Passwörter können Nutzer diese Konten nun seit dem 12.12.2022 wieder für sich zugänglich machen. Zur Erhöhung der Sicherheit der Office-Konten ist für Nutzer ein neues, 12-stelliges und sicheres Passwort vorgeschrieben.
Bewertung
In Nürnberg kann man von Glück reden, wenn tatsächlich nur die Konten von 16 Nutzerinnen und Nutzern betroffen waren und darunter keine Nutzer mit umfangreicheren Berechtigungen waren. Vor allem dann hätte der Schaden größer sein können. Die IT-Spezialisten dürften über die Log-Funktionen der Office Plattform nachgehalten haben, wann die 16 Konten kompromittiert wurden und dürften auch darüber ermittelt haben, ob es bei weiteren Konten im gleichen Zeitraum verdächtige Aktionen gegeben hat. Der Vorfall macht deutlich, dass die regelmäßige Sensibilisierung von Nutzern nicht vernachlässigt werden sollte. Sichere Passwörter alleine machen einen Zugang nicht sicher, wenn der Mensch dieses Passwort unfreiwillig preisgibt. Für Lehrkräfte sollte die Nutzung von Zwei-Faktor-Authentifizierung (2FA) verpflichtend gemacht und Schülern sollte sie ermöglicht werden, da die Möglichkeiten, durch Phishing erlangte Zugangsdaten zu missbrauchen damit deutlich verringert werden können.