Wie die Süddeutsche Zeitung am 24.10.2022 in einem Beitrag mit dem Titel Cyberattacke legt Schulverwaltungen lahm meldet, konnten Hacker Zugriff auf das Medienzentrum München-Land und die dort laufende Amtliche Schulverwaltung (ASV), ein schulartübergreifendes Verwaltungsprogramm, von 55 Schulen im Landkreis München und 20 im Berchtesgadener Land erlangen. Es handelt sich dabei überwiegend um Grund- und Mittelschulen wie auch einige weiterführende Schulen Der Ransom Ware Angriff erfolgte bereits am Donnerstag der vergangenen Woche. Die betroffenen Schulen wurden jedoch erst am Montag über den Vorfall informiert und die Aufsichtsbehörde in der Zeit dazwischen, vermutlich innerhalb der 72 Stunden Frist. „Laut Landratsamt wurde der Angriff binnen weniger Minuten entdeckt. Daraufhin seien umgehend alle Verbindungen zwischen den Servern sowie zum Internet unterbrochen worden. Dennoch konnte eben nicht verhindert werden, dass auf den Servern befindliche Daten verschlüsselt wurden.“ Erschwerend kommt hinzu, dass der Angriff erfolgte, als die „Speichermedien zur Sicherung […] wegen der Oktober-Statistik mit einem Server verbunden“ waren und dadurch ebenfalls zerstört wurden. Die Angreifer hinterließen eine Nachricht auf den Servern mit einer Geldforderung, „verbunden mit der Aufforderung, sich übers Darknet mit einer Adresse in Verbindung zu setzen,“ der man von Seiten des Landratsamtes jedoch nicht nachkommen wird. Die zentrale Lösung kann in der Kürze der Zeit nach Angaben des Landratsamtes nicht wieder hergestellt werden, weshalb man nun darangeht, lokale Serverlösungen aufzubauen. Das bedeutet jedoch einige Arbeit, da die Daten dort dann vermutlich oftmals von Hand neu angelegt werden müssen. Nach einer Untersuchung des Vorfalls geht man davon aus, dass mit großer Wahrscheinlichkeit keine Daten in fremde Hände gelangt sind, da die Daten verschlüsselt auf den Servern abgelegt sind. Der Zugriff ist zudem auf bestimmte Server begrenzt und betrifft nur die Server auf denen die ASV betrieben wird.
Bewertung
Bisher las man vor allem von Ransomware Angriffen aus dem Ausland, doch es war nur eine Frage der Zeit, bis auch in Deutschland lohnende Ziele ins Ziel der Hacker gelangen. Wie im Beitrag beschrieben, entdeckte man den Angriff binnen weniger Minuten. Das dürfte dann der Augenblick gewesen sein, in welchem die Ransomware begann, die Festplatten der betroffenen Systeme zu verschlüsseln. Man kann ziemlich sicher davon ausgehen, dass sich die Hacker bereits länger auf den Servern befanden und das System ausgespäht haben. Es ist deshalb auch kein Zufall, dass die Verschlüsselungssoftware der Hacker genau in dem Moment zuschlug, als der für Backups zuständige Server mit den Speichermedien zur Sicherung verbunden war. Die Daten von ASV werden in verschlüsselter Form auf den Servern abgelegt, weshalb man davon ausgeht, dass die Hacker die Daten höchstwahrscheinlich nicht entwenden konnten. Da die Hacker mit sehr großer Sicherheit schon lange vorher auf den Servern aktiv waren, ist aber auch nicht auszuschließen, dass sie auch den Verschlüsselungsmechanismus überwinden konnten. Wenn das der Fall sein sollte, wird man das spätestens merken, wenn die Daten der Betroffenen von 75 Schulen im Darknet auftauchen. Vielleicht wird auch nur ein Teil veröffentlicht mit einer neuen Zahlungsaufforderung und der Drohung bei Nichtzahlung alle Daten zu veröffentlichen. Was kann man hieraus lernen? Auch regelmäßige Sicherungen nutzen nichts, wenn die Sicherungsmedien verschlüsselt werden. Es wäre von daher sicherer, wenn wechselnde Sicherungsmedien genutzt werden, so dass niemals alle mit dem Server, über welchen die Sicherungen laufen, verbunden sind. Der Vorfall sollte eine Warnung für alle Schulen und Schulträger im Lande sein, das Thema Ransomware ernst zu nehmen. Mein Tipp für Schulträger und Schulen – überprüfen Sie Ihre Sicherheitskonzepte und vor allem die Backup Strategie.