Wie das Landratsamt des Kreises Kitzingen, Unterfranken, Bayern, meldet, stellte man am 23.10.2024 bei sieben staatlichen Schulen bei einzelnen IT-Systemen Unregelmäßigkeiten fest. Der IT-Dienstleister trennte die betroffenen Schulen (die Staatlichen Realschulen in Kitzingen und Dettelbach, das Armin-Knab-Gymnasium in Kitzingen, das Gymnasium Marktbreit, Berufsschule und FOSBOS sowie die Erich Kästner Schule in Kitzingen)1Laut IT-Daily arbeiten dort 500 Mitarbeiter und Lehrkräfte und es geht um rund 5.000 Schülerinnen und Schüler. deshalb vorsorglich vom Internet und den zentralen Diensten. Zu diesen gehört auch E-Mail. Wie in vergleichbaren Fällen sind die Schulen deshalb nur telefonisch erreichbar.In einer aktualisierten Meldung erklärt das Landratsamt, dass ein Krisenstab eingerichtet wurde und man „gemeinsam mit dem IT-Dienstleister Bechtle und einem erfahrenen Expertenteam mit Hochdruck an der Aufklärung des Vorfalls“ arbeite. Daten wurden für eine forensische Untersuchung gesichert und es wird ein Notbetrieb für die Schulen eingerichtet. Durch den Cyberangriff ist die Verwaltungstätigkeit der Schulen stark eingeschränkt und auch der Unterricht ist betroffen und durch den Wegfall des WLAN und des Internets nur eingeschränkt möglich. Mittlerweile ist auch klar, dass es sich bei dem Cyberangriff um eine Ransomware Attacke handelt: „Nach Abstimmung mit den Strafverfolgungsbehörden können wir zum Angriff mitteilen, dass eine teilweise Verschlüsselung der IT-Systeme durch Ransomware stattgefunden hat. Auch wenn bis jetzt noch kein Datenabfluss festgestellt werden konnte, wurde durch die Schulen eine mögliche Datenschutzverletzung angezeigt.“ Das Landratsamt, welches deshalb Anzeige erstattet hat, rechnet mit einem längeren Zeitraum, bis die Systeme wieder hergestellt sind und der Fall aufgearbeitet ist. Eine Woche nach dem Cyberangriff, am 30.10., veröffentlicht das Landratsamt weitere Neuigkeiten. Es liegen erste Erkenntnisse aus der IT-forensischen Untersuchung vor. So konnte der Weg, über den die Angreifer zuerst ins System gelangten, bereits identifiziert werden. Außerdem wurde während der forensischen Untersuchung und in Zusammenarbeit mit dem bayerischen Landesamt für Sicherheit in der Informationstechnik festgestellt, dass die Angreifer Daten entwenden konnten. Um welche Daten es sich dabei handelt und in welchem Umfang die Angreifer Daten entwenden konnten, war zum Zeitpunkt der Meldung unbekannt. Eine Veröffentlichung gestohlener Daten durch die Angreifer konnte nicht nachgewiesen werden. Die bereits erwähnten Hinweise auf den Aufbau eines Notbetriebs wurden konkretisiert. „Dieser Notbetrieb sieht vor, die Emailkommunikation sowie den Zugriff auf ausgewählte Daten zu gewährleisten.“ Am 06.11. meldet das Landratsamt, dass der Schulstart an den siebenbetroffenen weiterführenden Schulen nach den Herbstferien planmäßig erfolgt. Der Schulverwaltung wurden die ersten Anwendungen im Rahmen des Notbetriebes wieder zur Verfügung gestellt, so dass man dort wenn auch mit Einschränkungen wieder arbeitsfähig ist. Wichtige Unterlagen werden über OneDrive zur Verfügung gestellt und sie sind auch wieder über E-Mail erreichbar. Die Einrichtung der Konten der Lehrkräfte erfolgte seit Beginn der Woche. „Als nächster Schritt ist auch bereits die Wiederinbetriebnahme des Netzwerks inklusive des W-Lans an einzelnen Schulen gestartet.“ Erwähnt wird auch, dass man die Sicherheitsmaßnahmen weiter erhöht, sowohl im Notbetrieb als auch beim Wiederaufbau der IT-Infrastruktur der Schulen, „beispielsweise durch die Ausweitung der Multifaktor-Authentifizierung.“ Mittlerweile konnte der zuvor festgestellte Datenabfluss auf eine einzelne Schule eingegrenzt werden. Sobald auch feststeht, welche Daten vom Abfluss betroffen sind, sollen die Betroffenen informiert werden. Dem Landratsamt liegen weiterhin keine Anzeichen für eine Veröffentlichung der Daten vor.
Bewertung
Wieder einmal ein Ransomware Angriff auf Schulen. Aus den verfügbaren Informationen ist es kaum möglich, abzuleiten, welche Systeme betroffen waren. Aktuell nutzen die Schulverwaltungen der verschiedenen Schulen beispielsweise für E-Mail unterschiedliche Anbieter. Während einige Microsoft Outlook nutzen, verwenden andere über Hetzner und Host Europe laufende Dienste2Das lässt sich aus den MX Einträgen zu den Schuldomains schließen. Es ist möglich, dass alle oder einige der Schulen vor dem Angriff Microsoft 365 Dienste für Verwaltungsarbeiten nutzten. Sicher ist, dass einige Schulen neben der Landesplattform Mebis auch Microsoft 365 für den Unterricht nutzen und jetzt im Notbetrieb Daten für die Verwaltung in Microsoft OneDrive bereitgestellt werden. Da der IT Dienstleister Bechtle auch im Zusammenhang mit den Untersuchungen erwähnt wird, ist zu vermuten, dass dieses der Dienstleister ist, welcher für das Landratsamt die IT Struktur für die weiterführenden Schulen bereitstellt, supportet und administriert.
Wo und was genau die Schwachstelle war, welche den Ransomware Angriff ermöglicht hat, kann nur spekuliert werden. Da es Unregelmäßigkeiten bei sieben weiterführenden Schulen gab, muss die Schwachstelle auf administrativer Ebene gelegen haben. Das wäre beispielsweise möglich, wenn das Landratsamt seinen Schulen für Verwaltungsarbeiten Microsoft 365 bereitstellen ließ und dafür einen einzigen Tenant nutzte, in welchem die verschiedenen Schulen durch das Rechte- und Rollenkonzept voneinander getrennt sind. Hatte dann eine Lehrkraft der Schule einen Admin Zugang, über den sie beispielweise neue Lehrkräfte einrichten konnte, dann könnte sie im Tenant auch Zugriff auf alle anderen Bereiche gehabt haben.3Dem Verfasser dieses Beitrags sind aus der Praxis genau solche Fälle bekannt. Hatte diese Lehrkraft dann ihren Zugang nicht mit Zwei-Faktor-Authentifizierung (2FA) abgesichert und dazu eventuell noch ein schwaches Passwort oder das Passwort wurde durch Unachtsamkeit bekannt, dann könnte dieses beispielsweise den Angriff ermöglicht haben. Ob es so oder ähnlich abgelaufen ist, wird man vermutlich außerhalb der beteiligten Schulen, des Landratsamtes und der IT Abteilungen nicht erfahren. Dass man im Zuge des Wiederaufbaus der IT Systeme und auch der Systeme für den Notbetrieb die Sicherheitsmaßnahmen durch die „Ausweitung der Multifaktor-Authentifizierung“ weiter erhöht, lässt es recht wahrscheinlich erscheinen, dass ein unzureichend abgesicherter Zugang die Schwachstelle gewesen sein dürfte.
Grundsätzlich sollten Schulen bei allen Anwendungen, bei denen größere Mengen von personenbezogenen Daten von Schülerinnen und Schülern wie auch Lehrkräften verarbeitet werden, zumindest die Zugänge von Personen, welche höhere Zugriffsrechte haben, Passwörter zurücksetzen können, auf die Daten vieler Nutzer Zugriff haben, etwa als Klassenlehrer oder Stufenleiter, durch 2FA absichern, vor allem wenn diese Anwendungen über das Internet erreichbar sind. Personen mit Administrations-Rechten sollten dafür immer einen gesonderten Account haben, den sie niemals zu Unterrichtszwecken nutzen dürfen. Lehrkräfte sollten in Microsoft 365, wenn dieses regelmäßig im Unterricht genutzt wird, etwa mit Teams und OneNote ClassNotebook, ihre Zugange mit 2FA absichern. Gleiches gilt, wenn eine Schule WebUntis auch für das digitale Klassenbuch und Noten nutzt. Auch ein Moodle sollte, wenn darüber viel Unterricht an der Schule läuft, entsprechend abgesichert werden. Das App zum Erzeugen des 2. Faktors kann auf einem dienstlich genutzten iPad installiert werden. Auch gegen die Einrichtung auf einem privaten Smartphone spricht nichts, da es sich nicht um personenbezogene Daten handelt. Wer weder die eine noch die andere Möglichkeit hat, kann ein OTP Dongle4Ein Beispiel für ein Gerät, welches Einmal Passwörter für mehrere Logins erzeugen kann ist https://www.reiner-sct.com/produkt/reiner-sct-authenticator-mini/ verwenden.