In einem Beitrag vom 16.05.2023 mit dem Titel Basler Schulnetz gehackt, Schülerdaten im Darknet berichtet Heise Online über einen Datendiebstahl, der wohl sehr umfangreich sein dürfte. Das Erziehungsdepartement des Basels Kanton hat eine Datendiebstahl: Häufig gestellte Fragen und Antworten (FAQ) für Betroffene veröffentlicht. Diese ist aber bezüglich der Informationen über den Angriff deutlich weniger auskunftsfreudig. Bei Heise hatte man hier wohl gute Quellen. Nach Angaben aus dem Beitrag erfolgte der Diebstahl von 1,2 TB Daten aus dem Basler Bildungsserver eduBS bereits im Januar 2023. Lösegeldforderungen der Angreifer war man nicht nachgekommen war. Anders als in vergleichbaren Fällen war es einem Beitrag von SRF vom 10.05.2023 mit dem Titel Kinder betroffen: Daten des Basler Erziehungsdepartements gehackt zufolge den Hackern offensichtlich dank des Eingreifens eines IT Dienstleisters nicht gelungen, die Daten auf den Servern von eduBS zu verschlüsseln oder anderweitig zu zerstören. Die Veröffentlichung im Darknet erfolgte, nachdem der Lösegeldforderung eine Absage erteilt worden war. Laut Heise handelt es sich bei eduBS um „ein Netzwerk, das den Basler Lehrern und Schülern zur Verfügung steht und vom kantonalen Datennetz isoliert ist. Unter anderem haben Schüler und Lehrer dort eigene Konten und Ordner, in denen sie selbst Daten speichern. Aber auch Lehrberichte, Zeugnisse und sogenannte Abklärungen, das sind schulpsychologische Berichte über Kinder, sind in dem System gespeichert.“ Damit ist klar, den Hackern, sind recht sensible Daten in die Hände gefallen, die nun über das Darknet verbreitet werden könnten. Conradin Cramer, Basler Regierungsrat, wird in SRF mit der Aussage „Es sind sehr viele Baslerinnen und Basler betroffen – viele Kinder. Wir können nichts tun, ausser zu hoffen, dass niemand diese Daten missbraucht.“ zitiert. Um weiteren Schaden zu vermeiden wurden Schüler und Lehrkräfte schon im Januar kurz nach dem Cyberangriff aufgefordert ihre Passwörter für eduBS zu ändern. Nach Aussagen des Basler Erziehungsdepartements geht man davon aus, dass die Hacker sich über eine präparierte E-Mail Zugang zum System verschafft hatten. Laut SRF ist die Hackergruppierung, welche die eduBS Server angriff, bekannt. Es handelt sich laut Heise um die BianLian Bande. Diese macht bereits seit 2022 von sich Reden durch Angriffe auf über 100 Unternehmen und Institutionen. In den Angriffen der Anfangszeit verschlüsselten sie die Daten der Opfer. Das ist aktuell wohl nicht der Fall. Die genauen Ursachen dafür sind nicht bekannt. Das meldete den Vorfall an den Datenschutzbeauftragten des Kantons und informierte das Nationale Zentrum für Cybersicherheit NCSC. Außerdem erstattete man bei der Staatsanwaltschaft Anzeige gegen Unbekannt.
Bewertung
Dieser Fall aus Basel sollte allen Verantwortlichen zu Denken geben. Verantwortliche meint hier an aller erster Stelle die Personen, welche für die IT-Sicherheit schulischer Infrastrukturen verantwortlich sind. Das sind in der Regel nicht die Schulleitungen, auch wenn diese nominell als Verantwortliche im Sinne der Schulgesetze und der DS-GVO gelten. Aber anders als Schulträger oder IT-Dienstleister haben sie letztlich keinerlei echte Entscheidungsbefugnis in Sachen technischer IT-Sicherheit. Sie müssen sich hier dem fügen, was andere ihnen vorgeben. Die Sicherheit des eduBS Systems wurde hier der Beschreibung nach über ein „präpariertes E-Mail“ kompromittiert. Hier erhielt dann ganz klassisch ein Mitarbeiter mit Zugriff auf das System ein Phishing Mail oder ähnlich, über welche Schadsoftware ins System gelangte, über welche die Hacker sich Zugang zum System verschaffen konnten. Wie es dann zum Abfluss von 1,2 TB Daten kommen konnte, wird man sicher untersuchen. Der Fall zeigt auf jeden Fall einmal mehr, dass Schulen bzw. Schulträger oder IT-Dienstleister vorsorgen sollten, dass bei ihnen vergleichbare Katastrophen nicht möglich sind.