Wie der Nordkurier am 18.06.2025 in einem Beitrag mit dem Titel Cyberangriff legt Technik von mehreren Schulen in der Seenplatte lahm berichtet, waren insgesamt sechs Schulen in in Demmin und Neustrelitz (Kreis Mecklenburgische Seenplatte) von einem Sicherheitsvorfall betroffen. Zunächst ging es um einen Verdacht auf einen Sicherheitsvorfall. Um Schäden zu vermeiden, wurde der Schulserver in Demmin heruntergefahren, was zur Folge hatte, dass es zu Einschränkungen in Verwaltungssystemen und den WLANs sowie den auf Internet angewiesenen Endgeräten (PCs, Notebooks, iPads, Drucker und Tafeln) der Schulen kam. Auf der Seite des Landkreises findet sich am 20.06.2025 die Meldung Verdacht auf IT-Sicherheitsvorfall – Analyse beendet, Normalbetrieb ab Freitag.Im Ergebnis der Analyse durch IT-Forensiker geht man davon aus, dass weder Systeme beeinträchtigt wurden noch ein Abfluss von Daten stattgefunden hat.
Wie die weiteren Ermittlungen ergaben, war der Auslöser des Vorfalls ein unbefugter Zugriffsversuch aus dem Gäste-WLAN einer der betroffenen Schulen auf das Datennetz einer Landesbehörde. Nach Abschluss der forensischen Analyse konnte der Server wieder in Betrieb genommen werden, sodass der reguläre Schulbetrieb ab Freitag fortgesetzt werden konnte. Laut Kreisverwaltung gibt es nach aktuellem Stand keine Hinweise auf eine Gefährdung sensibler oder personenbezogener Daten. Wer der oder die Verursacher waren, konnte die IT-Forensik nicht ermitteln. Man wird die Systeme der Schulen weiter überwachen und zusätzliche Maßnahmen, „wie zusätzliche Restriktionen für die Nutzung des Gäste-WLANS“ ergreifen, um vergleichbare Zugriffsversuche in Zukunft zu verhindern.
Bewertung
Interessant an dem Vorfall ist die Aussage, dass Unbekannte versucht hatte, sich über das Gäste-WLAN einer Schule „in das Datennetz einer Landesbehörde in Mecklenburg-Vorpommern zu hacken.“ In der Mitteilung auf der Seite des Landkreises heißt es, „Die Untersuchung hat ergeben, dass zu Wochenbeginn aus dem Gäste-WLAN der Schulen schadhafte Aktivitäten erkannt wurden, die eine andere Behörde in Mecklenburg-Vorpommern zum Ziel hatten.“ In Mecklenburg-Vorpommern zählen beispielsweise die Staatlichen Schulämter zu den unteren Landesbehörden. Diese sind für die Fach- und Dienstaufsicht über die Schulen im jeweiligen Einzugsbereich zuständig und gehören organisatorisch zur Landesverwaltung. Auch das Ministerium für Bildung und Kindertagesförderung ist eine Landesbehörde. Wenn also von einem Angriff auf das „Datennetz einer Landesbehörde“ gesprochen wird, ist damit wahrscheinlich das IT-Netzwerk einer solchen Behörde (z.B. eines Staatlichen Schulamts oder des Bildungsministeriums) gemeint – nicht das Schulnetzwerk selbst. Ziel des der Angriffs von einem schulischen Gäste-WLAN aus, war also ein übergeordnetes, behördliches Netzwerk. Hier stellt sich die Frage, wieso es überhaupt möglich sein kann, von einem schulischen Gäste-WLAN auf die IT-Strukturen einer übergeordneten Behörde zuzugreifen? Die Kopplung scheint dabei über den Schulserver zu erfolgen. Das Problem hat man vermutlich erkannt, wenn man die Berechtigungen von Nutzern der Gäste-WLANs der Schulen einschränken will.
Was kann man als Schule aus dem Vorfall lernen? Es ist wichtig, auch bei WLANs saubere Rechte- und Rollenkonzepte einzurichten, welche Zugriffsberechtigungen an Rollen binden. Gleiches gilt für die zumeist offenen oder mit einem leicht verfügbaren Passwort geschützten Gäste-WLANs. Gäste dürfen in einem Schulnetzwerk in der Regel das WLAN nutzen, um auf das Internet zuzugreifen, nicht jedoch auf beliebige Ressourcen innerhalb des Netzwerks.