Wie die Passauer Neue Presse (PNP) am 01.03.2023 unter dem Titel Gezielter Hackerangriff – Nachrichten-Datenbank des Karlsgymnasiums zerstört berichtet, deutet einiges darauf hin, dass die dem von der Schule genutzten Matrix Messenger zugrunde liegende Datenbank durch einen Eingriff von außen zerstört wurde. Matrix, welches beispielsweise auch in NRW als Logineo NRW Messenger durch das Land für Schulen bereitgestellt wird, war an der Schule während der Zeit von Distanzunterricht infolge der Corona Pandemie durch eine Lehrkraft eingeführt worden und scheint seither gut genutzt worden zu sein. Zu Beginn der Faschingsferien (um den 20.02.) war aufgefallen, dass der Messenger nicht mehr funktionierte. Externe Experten konnten dem Bericht zu Folge einen Zugriff von außerhalb des EU Raumes nachweisen. Bei diesem war dann der Datenbank Ordner auf dem Server gelöscht worden. Ob dieses durch ein Schadprogramm oder durch einen Menschen mit direktem Zugriff auf den Server erfolgte, ist bisher nicht bekannt. Laut dem Beitrag war die Datenbank durch eine Firewall zur Absicherung vorgeschaltet, was jedoch nicht ausreichte. Die Beschreibung im Beitrag deutet darauf hin, dass die Schule den Matrix Server in Eigenregie betrieben hat, betreut durch eine Lehrkraft. Bis zu den Osterferien müssen die meisten Schüler:innen des Karlsgymnasiums laut PNP nun auf die Kommunikation mit dem Messenger verzichten. Für die Oberstufe wird man die Datenbank wieder neu erstellen. Nach den Osterferien sollen alle Schülerinnen und Schüler wieder Zugriff auf den Messenger erhalten, diesmal als Testschule im Rahmen einer probeweisen Einführung eines Schul-Messengers durch das Bayrische Kultusministerium. Dieser Schul-Messenger ist Teil der BayernCloud Schule (ByCS) 1„Die Werkzeuge der BayernCloud Schule für die digitale Kommunikation sind das Videokonferenzsystem Visavid, dienstliche E-Mail-Postfächer für Lehr- und Verwaltungskräfte staatlicher Schulen sowie künftig auch ein Schul-Messenger.“ Siehe hierzu auch https://www.km.bayern.de/schule-digital/software-und-hardware-ausstattung/bycs.html. Bedeutet die Teilnahme an der Pilotierung des neuen Schul-Messengers tatsächlich nur einen Datenbankwechsel, würde das bedeuten, der Bayrische Schul-Messenger setzt auf dem Matrix Protokoll auf, wie der in NRW. Auf Fortbildungen soll der Schul-Messenger auch so vorgestellt worden sein, ist aus anderen Quellen zu hören.
Bewertung
Der Beitrag in der PNP ist recht unpräzise und man muss zwischen den Zeilen lesen, um in etwa zu ermitteln, was wohl vorgefallen ist. Die Synapse Datenbank eines Matrix Servers ist sehr zentral für den Betrieb, da sie beispielsweise die Konto-Daten der in der Instanz angemeldeten Nutzer, eventuell eingetragene Profildaten, angemeldete Geräte, bestehende Räume und Verbindungen wie auch Metadaten zu Chats speichert. Fehlt die Datenbank, bricht das System zusammen und eine Kommunikation zwischen den Teilnehmern ist nicht länger möglich. Sind die Chats verschlüsselt, ist ein Zugriff auf Inhalte über die Datenbank nicht möglich, da die Schlüssel zur Verschlüsselung nur bei den Teilnehmern selbst hinterlegt sind. Risiken müssen so für die Betroffenen nicht entstehen, wenn die Datenbank entwendet wird. Wie es genau möglich war, die Datenbank der Schulinstanz zu zerstören, geht aus dem Beitrag nicht hervor. Wenn der Server tatsächlich durch eine Lehrkraft der Schule betrieben wurde, wäre das ein Beispiel dafür, warum Schulen derartige Projekte besser an Dienstleister abgeben.