Im Januar 2025 kam es zu einem schwerwiegenden Ransomware Angriff auf 45 Schulen in Rheinland Pfalz. Seinerzeit gab eine Hacker Gruppe mit dem Namen LockBit an, 3 TB Daten gestohlen zu haben, und drohte mit einer Veröffentlichung, wenn eine Lösegeldforderung nicht erfüllt würde. Der Lösegeldforderung kam man nicht nach. Jetzt, gut ein Jahr später, tauchte im Januar 2026 ein Großteil der Daten im Darknet auf. Laut dem Bericht auf Heise Online vom 17.03.2026 wurden durch die Hacker rund 2 TB an Daten veröffentlicht, darunter auch sensible Daten – laut Heise – „Zeugnisse, Anwesenheitslisten, Beurteilungen, Gesundheitsdaten.“ Es geht insgesamt um 2,2 Millionen Dateien verschiedener Art, von Office Dokumenten bis zu Videodateien. Nachdem ein vom Datenleck betroffener ehemaliger Schüler mit seinem Anwalt Beschwerde bei der Aufsichtsbehörde einlegte, äußern sich nun die Stadt Speyer wie auch der von dieser beauftragte IT Dienstleister Topackt IT Solutions GmbH, dessen Systeme seinerzeit durch den Hacker Angriff kompromittiert worden waren. Das Unternehmen sichte nun die im Darknet veröffentlichten Daten und werde dann die betroffenen Stellen „gezielt und transparent über den Umfang der jeweiligen Daten informieren,“ zitiert Heise die IT Firma, die Zurückhaltung anmahnte, um eine weitere Verbreitung der Daten, die zu dem Zeitpunkt im Darknet weiter verfügbar waren, durch zusätzliche Aufmerksamkeit zu vermeiden. Auch die Stadt Speyer kündigte an, die Daten zu prüfen. Der betroffene ehemalige Schüler gab an, bereits Mitte 2023 auf Sicherheitsprobleme der Server seiner Schule aufmerksam gemacht zu haben, sei aber abgewimmelt worden. Der IT Dienstleister war der Ansicht, dass es kriminelle Energie brauche, um den Server zu kompromittieren und es nicht so viele Schüler gebe, die so etwas könnten. Mit seinem Anwalt hat der ehemalige Schüler sich die Daten angesehen und dabei entdeckt, dass das Sicherheitsniveau der betroffenen Schulen und möglicherweise auch des IT Dienstleisters selbst Lücken hatte. Vielfach hatten Schulen ihren Schülerinnen und Schülern Kennwörter nach leicht erratbaren Mustern vorgegeben, möglicherweise auch um lästigen IT-Support zu reduzieren. So fand man bei über 600 Konten immer „dasselbe sechsstellige kleinbuchstabige Passwort.“ Auch „Kennwörter „123456“, „start“ und „test“ gaben bei mehreren hundert Konten“ gefunden. Laut IT Dienstleister war manches davon individuell mit Schulen so vereinbart worden. Nach dem Angriff habe man aber Schulen auf einen dringenden Passwortwechsel hingewiesen.
Wie die Hacker der Lockbit-Affiliate Gruppe seinerzeit Zugriff auf die Server erlangen konnten, ist bis heute nicht geklärt. Man vermutet Zugang über mittels Phishingangriff gestohlene Zugangsdaten. Zwischen der vom ehemaligen Schüler damals gemeldeten und demonstrierten Sicherheitslücke und dem Hackerangriff sieht man beim IT Dienstleister keinen Zusammenhang.
Bewertung
Die Fortsetzung des Falls von Anfang 2025 zeigt einmal mehr, wie wichtig IT-Sicherheit auch im Schulbereich ist. Selbst wenn die Ransomware-Gruppe die gestohlenen Daten nicht zu Geld machen konnte, so besteht durch ihre Veröffentlichung im Darknet ein hohes Schadpotenzial für betroffene Schülerinnen und Schüler, Eltern und Lehrkräfte. Von Seiten der Ermittlungsbehörden wird man nun sicherlich alles daransetzen, diesen Datensatz von 2TB aus dem Darknet zu löschen. Man muss hoffen, dass sich nicht weitere Personen sich diese Daten angeeignet haben. Interesse an solchen Daten dürften viele haben. Kriminelle, welche Identitätsdiebstahl begehen wollen, aber möglicherweise auch Geheimdienste, welche diese Daten für mögliche zukünftige Aktivitäten benötigen könnten. Was der ehemalige Schüler mit seinem Anwalt bezüglich der Sicherheit der Nutzerkonten herausfand, ist nicht auf die betroffenen Schulen in Rheinland-Pfalz beschränkt. Auch dem Verfasser dieses Beitrags sind Fälle bekannt, bei denen Schulen ihren Schülerinnen und Schülern ein einfaches und für alle Personen identisches Kennwort aufnötigen wollte, welches sich auch nicht ändern lassen sollte, so dass Lehrkräfte im Schulalltag nicht immer wieder gezwungen sein sollten, vergessene Passwörter zurücksetzen zu müssen.
Praktikabilität im Alltag ist die eine Sache, aber Sicherheit eine andere. Und Schulen haben auch den Auftrag, Schülerinnen und Schülern eine Sensibilität für die Sicherheit und den Schutz ihrer personenbezogenen Daten zu vermitteln. Das ist nicht möglich, wenn man allen von ihnen ein gleiches Passwort aufzwingt.