Laut einer Meldung von DSGVO-Portal vom 16.04.2026 reklamierte die unter dem Namen Payload agierende Hackergruppe auf ihrem Opferblog bzw. Leak‑Site einen Ransomware-Angriff auf die katholische Franziskusschule Wilhelmshaven für sich, gab an 13 GB Daten gestohlen zu haben und drohte, diese zu veröffentlichen, sollte bis zum 21.04.2026 kein Lösegeld gezahlt worden sein. Dem NDR gegenüber bestätigte der katholische Träger der Schule den Hackerangriff. Anzeige sei bereits erstattet worden. Ein „nachhaltiger Schaden“ sei nicht „absehbar“ und der Schulbetrieb laufe weiter. Laut NDR fand sich auf der Schulhomepage ein Hinweis, dass IServ nicht erreichbar sei.
Bewertung
Der Fall erinnert an den der Schulen in Österreich. Das Muster ist das gleiche. Die Hackergruppe, auch hier „Payload“ kompromittiert die Server der Schule bzw. Schulen, veröffentlicht Informationen auf ihrer Leak-Site, behauptet umfangreich Daten gestohlen zu haben und fordert dann ein Lösegeld, um deren Veröffentlichung zu vemeiden. In beiden Fällen sieht es aktuell so aus, als seien keine Daten entwendet worden. Aber wie mit Speyer ein anderer Fall zeigt, werden Daten manchmal mit größerer zeitlicher Verzögerung veröffentlicht. Auch in Speyer war man seinerzeit davon ausgegangen, dass es keinen Datenabfluss gegeben hatte. Die Verantwortlichen wurden dann aber eines Besseren belehrt.
Die Website RadioCSIRT Deutsche Ausgabe bzw. die zugehörige Podcast-Folge „RadioCSIRT Deutsche Ausgabe – neue Ransomware-Gruppe unter dem Namen Payload (Ep.74)“ vom 12.04.2026 beschreiben das Vorgehen der Ransomware Gruppe Payload genauer. Demnach ist die Ransomware-Gruppe noch recht neu und seit Februar 2026 aktiv. Die Website spricht von Double-Extortion-Kampagnen1Der Begriff meint eine spezielle Form von Ransomware‑Angriff, bei der die Angreifer nicht nur Daten verschlüsseln, sondern sie vorher zusätzlich kopieren und dann mit zwei Druckmitteln gleichzeitig erpressen. und gibt an, dass die Gruppe in weniger als zwei Monaten 26 Opfer in 7 Länder gemeldet habe und behauptet 2.603 GB Daten gestohlen zu haben. Dem Autoren des Podcasts nach habe die Gruppe „ein technisches Niveau demonstriert, das sie weit über opportunistische Ransomware-Operationen hinaushebt.“ Er vermutet, dass die Gruppe entweder über einige Erfahrung verfüge, möglicherweise eine bereits existierende jetzt unter neuem Namen agierende Gruppe sei oder aber über Zugang zu einem ausgereiften Hacking Toolkit verfüge. Im Folgenden beschreibt er dann recht genau wie die Payload Hackergruppe technisch vorgeht bei ihren Angriffen, um die Daten der Opfer zu verschlüsseln. Vereinfacht erklärt, sieht das das System von Payload wie folgt aus:
- Payload ist vergleichbar einem hochprofessionellen „Digitallösegeld“‑Raubüberfall.
- Man nutzt zwei „Werkzeuge“:
- Eines ist für Windows‑Systeme (auf PCs, Servern) ausgelegt,
- das andere auf VMware‑Server (auf denen heute viele virtuelle Rechner laufen).
- Beide Werkzeuge nutzen starke, moderne Verschlüsselung (Kurve 25519 + ChaCha202ChaCha20 stammt aus einem Leak, in welchem ein von Hackern genutztes Hacking Tool veröffentlicht wurde.), um Daten so zu verschlüsseln, dass sie ohne Schlüssel nicht wiederherzustellen sind.
- Auf dem Server schaltet das Werkzeug alle virtuellen Rechner aus, verschlüsselt deren Daten.
- Auf dem Windows‑System stellt das Werkzeug die Sicherheits‑ und Backup‑Programme stumm, bevor alles verschlüsselt wird.
- Danach löscht beide Werkzeuge ihre Spuren in den Systemen und stellen direkt eine Lösegeldnachricht ins Web‑Panel des Servers oder als Datei am Desktop, damit die Opfer sofort sehen, dass sie erpresst werden.
Der Autor gibt technische Hinweise, wie man sich schützen kann und erklärt, was die einzigen Optionen sind, verlorene Daten wieder herzustellen, wenn es nicht möglich war, den Verschlüsselungsprozess rechtzeitig zu erkennen und zu stoppen.
„Unveränderlicher oder air-gapped Backup-Speicher bleibt der einzig zuverlässige Wiederherstellungspfad, wenn die Verschlüsselung vor der Erkennung abgeschlossen wird.“
Das meint, entweder werden die Daten auf einem unveränderlichen Medium gesichert, so wie man eine einmal beschreibbare DVD einmal brennt, oder indem die Speichermedien, auf denen die Backups liegen, physikalisch vom aktiven System getrennt sind. Physikalisch getrennt heißt tatsächlich so, dass es keine Verbindung über Kabel oder WLAN oder sonst gibt und es so keine Möglichkeit für Schadprogramme gibt, eine Verbindung dazu herzustellen.
***
Wenn die Hackergruppe tatsächlich in diesem und dem Fall des B3-Clusters so technisch fortschrittlich arbeitet, ist es nicht unwahrscheinlich, dass in beiden Fällen auch Daten verschlüsselt und möglicherweise exfiltriert werden konnten. Es hängt im Einzelfall davon ab, ob und wann der Angriff bemerkt wurde. Falls es eine Verschlüsselung gab, dann spräche die kurze Ausfallzeit der Server für die Kompetenz der IT-Verantwortlichen.