Ungepatchte Software als Einfallstor für Hacker bei Ransomware Angriff auf Karlsruher Schulen?

In einem Beitrag mit dem Titel Hackerangriffe auf Schulen: Treiben Datenschützer die Bildungseinrichtungen (ungewollt) in die Hände von Cyber-Kriminellen? berichtet News4Teachers am 17.02.2023, dass es Hinweise auf die Schwachstellen im System gibt, über welche es Hackern gelang, die Serversysteme von acht Schulen in Karlsruhe unter ihre Kontrolle zu bringen und zu verschlüsseln. Betroffen scheint demnach die von Schulen in Baden Württemberg genutzte Plattform paedML. Bei dieser Open Source Plattform, „die mittlerweile von 2.176 Schulen in Baden-Württemberg genutzt wird,“ gibt es in einer Komponente eine seit Jahren bekannte Sicherheitslücke. News4Teachers zitiert aus einem Beitrag der Badischen Neuesten Nachrichten, wonach die Redaktion dieser Zeitung „aus gut informierten Quellen“ erfahren haben will,“ dass Sachverständige derzeit eine Spur verfolgen, nach der die Hacker genau diese Sicherheitslücke ausgenutzt haben könnten. PaedML wird vom Landesmedienzentrum Baden-Württemberg (LMZ) angeboten und verfügt über umfangreiche Funktionen zum Einrichten und Betrieb eines pädagogischen Netzwerks, von der Nutzerverwaltung bis zur Klassenraumsteuerung und gesicherten Dateiablage, sowie der Softwareverteilung bis zur Firewall und dem Jugendschutzfilter. Weitere Funktionen sind eine Groupware (E-Mail, Kalender, Messenger, Notizbuch, …) sowie die Integration von externen MDM, die Anbindung lokaler Schulnetze über eine NextCloud an das Internet für einen Webzugriff und ein Benutzermanagement für Moodle. Laut LMZ gab und gebe es keine Sicherheitsprobleme. Man habe Schulen Sicherheitsupdates zur Verfügung gestellt. Allerdings seien „Wartung und Administration der IT-Infrastruktur von Schulen nicht in [der] Zuständigkeit [des LMZ] als Anbieter der PaedML.“ Die Betriebsverantwortung, so das LMZ, liege beim Schulträger. Wer letztlich die Verantwortung für den Sicherheitszwischenfalll trägt, ist weiterhin offen. Die Schulen müssen unterdessen schauen, wie sie zurechtkommen, solange ihre Server offline sind. Der Beitrag von News4Teacher schaut auch auf das Thema Sicherheit bei Microsoft 365, ohne den Namen der Plattform zu nennen, und befragt den Konzern dazu. Der gibt an, im Bereich Cybersicherheit führend zu sein und eine „Vielzahl technischer Maßnahmen [zum implementieren], um Kundendaten vor Cyberattacken zu schützen. Hierzu gehören unter anderem Technologien zur Erkennung und Vereitelung von Attacken und unberechtigten Datenzugriffen.“

Bewertung

Liegt der Beitrag von News4Teachers richtig, wenn er etwas polemisierend behauptet, dass die Aufsichtsbehörde des Landes Baden Württemberg Schulen zum leichten Opfer für Hacker macht, indem sie ihnen die Nutzung von Microsoft 365 untersagt bzw. sie von der Nutzung abbringt, und sie damit zur Nutzung von PaedML zwingt? Völlig daneben liegt der Beitrag sicherlich nicht, auch wenn die Probleme mit der mangelhaften Sicherheit einiger Instanzen von PaedML (sofern das tatsächlich die Einfallsstelle der Hacker war) nicht ein Problem der Plattform selbst ist. Hier geht es eher darum, ob die Sicherheitsupdates eingespielt wurden oder nicht und wenn nicht, wer dafür verantwortlich ist. Ungepatchte Software und veraltete Systeme sind, egal ob Open Source oder proprietär, an vielen Schulen ein Problem. Gerade bei über das Internet erreichbaren Plattformen stellen fehlende Sicherheitsupdates (wie auch fehlerhafte Konfigurationen) ein hohes Risiko dar, da sie Angreifern die Möglichkeit geben, Zugriff auf Daten zu erhalten und Ransomware einzuschleußen. Ursache für diese Unzulänglichkeiten sind oftmals fehlende Ressourcen der Schulträger oder der von ihnen beauftragten Dienstleister. Mitunter sind es auch fehlende Kompetenzen. Bei einer Cloud Plattform wie etwa dem von Datenschützern kritisierten Microsoft 365 sind Sicherheitsupdates kaum ein Problem. Wird eine Sicherheitslücke bekannt, rollt der Hersteller ein Sicherheitsupdate für die gesamte Plattform mit allen Instanzen aus, um die Sicherheitslücke zu schließen. Datenschützer mögen bei Microsoft 365 bezüglich der Einhaltung der Vorgaben der DS-GVO einiges zu bemängeln haben, doch wenn es um IT Sicherheit geht, dann hört man so gut wie keine Kritik.