Alles begann mit einer harmlosen E-Mail im vergangenen Winter. Diese forderte dazu auf, den E-Mail-Anhang zu öffnen. Einmal angeklickt, konnten Hacker auf dem Basler Bildungsserver edubs.ch ein Schadprogramm ausführen. Sie verschafften sich Zugriff zu den Daten.
Lehrerinnen und Lehrer sowie Schülerinnen und Schüler setzen edubs.ch im Alltag ein, um auf Unterrichtsmaterial zuzugreifen oder um administrative Daten zu erfassen. Bemerkt wurde der Angriff bereits Ende Januar, nachdem eine Geldforderung der Hacker eingegangen war. Das Erziehungsdepartement reichte Strafanzeige gegen Unbekannt ein und schaltete das Nationale Zentrum für Cybersicherheit des Bundes ein. Mitte Mai präsentierte das Erziehungsdepartement in einer Medienkonferenz den Stand der Ermittlungen.
Hacker machen Drohung wahr
Kurz zuvor hatte die Hackergruppe «Bianlian», die hinter dem Angriff steckt, ihre Drohung wahr gemacht und Daten von edubs.ch im Darknet veröffentlicht. Das Erziehungsdepartement lässt die betroffenen Daten derzeit analysieren. Personen, deren Namen in den Daten auftauchen, werde man aktiv informieren, erklärte der Basler Bildungsdirektor Conradin Cramer an der Medienkonferenz. Das Erziehungsdepartement dokumentiert den Verlauf der Untersuchungen auf bs.ch.
Der Vorfall in Basel-Stadt reiht sich in eine Serie von Cyberangriffen ein. Im Sommer waren die Medienhäuser NZZ und CH Media Ziel von sogenannten Ransomware-Angriffen geworden. Dabei versuchen Hacker, sich mit einem Schadprogramm auf einem Rechner einzunisten, um die Daten zu verschlüsseln und für die Freigabe der Daten Lösegeld zu erpressen. Im Fall des Basler Bildungsservers wurden die Daten nicht verschlüsselt, sondern vom Server kopiert und entwendet.
«Systeme werden immer komplexer»
Armand Portmann ist Professor für Informationssicherheit an der Hochschule Luzern – Informatik. Ihn überrascht der Fall edubs.ch nicht. «Informationssicherheit betrifft alle: die Privatwirtschaft, Behörden oder eben auch Schulen. Und in den vergangenen Jahren haben betrügerische Aktivitäten zugenommen.» Dabei verweist Armand Portmann auf das Nationale Zentrum für Cybersicherheit. Dieses veröffentlichte Mitte Mai seinen Halbjahresbericht und legte offen, dass Angriffe durch Ransomware oder Betrugsformen wie Droh- und Erpressermails am meisten auftreten.
«Entscheidend ist, welche Daten ein System enthält», ergänzt Portmann. «Wenn diese, wie oft im Schulumfeld, besonders schützenswert sind, verlangt das nach entsprechend hohen Schutzmassnahmen.» Zu den besonders schützenswerten Daten zählen beispielsweise Informationen zur Religion, zur Gesundheit, zum sozialen Status oder zur Fürsorge. Auch wenn das Bewusstsein und das Know-how für Informationssicherheit gestiegen seien, plädiert Portmann für eine fachkundige, professionelle Unterstützung. «Die Systeme werden immer komplexer. Und wir sprechen heute in der Cybersecurity vom Assume-Breach-Paradigma: Geh davon aus, dass ein Angreifer dein System hacken kann.» Denn es gebe immer Schwachstellen. Deshalb sei die automatische Überwachung von Systemen Pflicht.
«Kursieren plötzlich im Namen eines Mitarbeiters Mails mit komischem Inhalt oder in grosser Anzahl, sollte uns das auffallen. Das könnte auf ein gehacktes E-Mail-Konto hindeuten. Oder wenn das Überwachungssystem meldet, dass grosse Datenmengen vom Schulsystem auf einen externen Server transferiert werden, könnte das auf einen Datenklau hinweisen.»
Nutzerinnen und Nutzer sensibilisieren
Aktuelle Entwicklungen zum Thema Cybersecurity veröffentlicht die Hochschule Luzern in ihrem hauseigenen Blog (bit.ly/41DEyn6) oder auch auf secnovum.ch.
Klar ist: Für Schulen rückt die Frage der IT-Sicherheit auf der Traktandenliste nach oben. Neben einer robusten Infrastruktur sollte im Zentrum stehen, Lehrpersonen und Lernende zu sensibilisieren. Denn auch Nutzerinnen und Nutzer spielen bei der Sicherheit eines Systems eine Rolle.