Wie verschiedene Fälle aus der Vergangenheit zeigen, sind auch Schulen nicht sicher vor den Angriffen von Hackern. Wer von einem Cyberangriff betroffen ist, muss wissen, wie man darauf reagiert. Der von der LDI NRW am 05.09.2023 unter dem Titel Hilfe, ein Cyberangriff! veröffentlichte Leitfaden gibt eine Schritt für Schritt Anleitung, wie auf einen Cyberangriff reagiert werden sollte, die vom Stoppen und Eingrenzen des Angriffs reichen bis zum Treffen von Vorkehrungen, um künftige Cyberangriffe.
Bewertung
Schulen werden nicht alle der beschriebenen Maßnahmen eigenständig umsetzen können. Was getan werden kann, hängt auch davon ab, ob es sich um lokale oder externe Systeme handelt. Geräte vom Internet trennen und ausschalten, kann die Schule immer. Auch bei der Untersuchung des Vorfalls ist die Schule gefordert. Zwar wird sich nicht selbst eine forensische Untersuchung vornehmen, doch sie sollte abschätzen können, welche Kategorien von Daten und Personen betroffen sein könnten und wie viele Personen. Steht fest, welche Daten betroffen sind und auf welche Art und Weise, ist die Schule gefragt, wenn es um die Abschätzung der Auswirkungen auf die betroffenen Personen geht, da sie die Daten kennt. Die Schule muss anschließend, sofern man nach der Abschätzung der Risiken zu dem Schluss gekommen ist, dass ein Risiko besteht, den Vorfall auch bei der Aufsichtsbehörde melden. Bei der Abmilderung von Nachteilen für die betroffenen Personen werden Schulen auf die Unterstützung von außen angewiesen sein, den IT-Dienstleister, die IT-Abteilung des Schulträgers oder ähnlich, um die Daten wiederherzustellen, auf unbefugte Veränderungen zu überprüfen und Dienste wieder in Gang zu bringen. Sollte es erforderlich sein, Betroffene zu informieren, um den Schaden durch den Cyberangriff abzumildern, so ist dieses Aufgabe der Schule. Die Anpassung des Schutzniveaus der Systeme an die Gefahr ist wieder eine Aufgabe für Externe. Als verantwortliche Stelle bestreitet die Schule auch den letzten Akt und dokumentiert den gesamten Vorfall.
Mein Tipp: Schulleitungen sollten sich bei Gelegenheit diesen Leitfaden einmal vornehmen und querlesen, so dass sie eine Idee haben, welche Informationen sie dort finden. Für den Fall der Fälle sollten sie sich den Link abspeichern. Darüber hinaus empfiehlt es sich ein Konzept für Datenschutzvorfälle in der Schublade zu haben und als Dienstanweisung an das Kollegium und sonstige Mitarbeiter auszugeben, so dass man im Ernstfall handlungsfähig ist. Cyberangriffe sind nur eine Form von Datenschutzvorfall. Es gibt noch viele weitere, gestohlene oder verlorene Endgeräte, zerstörte Server, …