Organisierte Kriminalität und Daten im Darknet: Update zum Hackerangriff auf Schulen im Kreis Germersheim

Germersheim. Auf die schulinternen Server der weiterführenden Schulen im Landkreis Germersheim hat es in der vergangenen Woche einen Hackerangriff gegeben. Betroffen sind die Server des externen IT-Dienstleisters, nicht die der Kreisverwaltung. nachdem am Montag, 20. Januar, zuerst die Meldung über einen Cyberangriff auf Schulen in Speyer kam, hat es nun auch den Landkreis Germersheim erwischt. Laut Aussage des Dienstleisters war ein Verschlüsselungs-Trojaner auf die betroffenen lokalen Schulserver gelangt. Die Verbindungen wurden sofort gekappt, weshalb an einigen Schulen der Zugriff auf Daten nicht mehr möglich war.
Der IT-Dienstleister ist dabei, die Verbindungen und Daten wieder herzustellen. Dies soll bis Ende der Woche erfolgt sein. Bisher gibt es keinen Hinweis darauf, dass Daten abgeflossen sind. Das Landeskriminalamt wurde über den Angriff informiert und hat die Ermittlungen übernommen.
Die Kreisverwaltung hat sicherheitshalber alle Zugänge der Schulen ins Netz der Kreisverwaltung deaktiviert und das Monitoring ausgeweitet. Es sind keine Auffälligkeiten festgestellt worden. Betroffen sind folgende Schulen: Richard von Weizsäcker Realschulen Plus in Germersheim, Nardinischule, Berufsbildende Schule, IGS Rheinzabern, IGS Rülzheim, Förderschule Rülzheim, IGS Kandel, Realschule Plus Kandel, Carl Benz Gesamtschule Wörth.
Es gibt eine enge Abstimmung zwischen IT-Dienstleister, der Kreisverwaltung und der Schulleitungen über das weitere Vorgehen beziehungsweise die nun notwendigen Maßnahmen, zum Beispiel Passwörteränderungen.

Update und Stellungnahme des Landeskriminalamtes

Vermutlich in der Nacht vom 14. auf den 15. Januar 2025 erlangten Unbekannte unberechtigten Zugriff auf die IT-Systeme eines rheinland-pfälzischen IT-Dienstleisters.
Nach dem derzeitigen Ermittlungsstand handelt es sich bei den Tätern um professionelle und organisierte Kriminelle, die aus der Begehung von Cybercrime ein regelrechtes "Geschäftsmodell" gemacht haben. Eine gängige Methode ist dabei der Einsatz von Ransomware, mit der die Daten auf den Servern ihrer Opfer verschlüsselt werden. Die Kriminellen fordern dann ein Lösegeld - meist zu zahlen in einer Kryptowährung - mit der Ankündigung, dem Opfer im Gegenzug eine Entschlüsselungssoftware zur Verfügung zu stellen. Darüber hinaus wird in der Regel die Veröffentlichung vertraulicher oder kompromittierender Informationen ihrer Opfer im Darknet angedroht.
Das betroffene Unternehmen bietet IT-Dienstleistungen für unter anderem mehrere öffentliche und private Schulen in Rheinland-Pfalz und Baden-Württemberg an. Den etwa 70 Schulen in Rheinland-Pfalz wird ein dynamisches Netzwerk zur Verfügung gestellt, das ein pädagogisches Unterrichtsnetzwerk sowie ein Verwaltungsnetz für die Schulverwaltung beinhaltet. Nach derzeitigem Kenntnisstand sind 45 Schulen durch den Cyberangriff mittelbar betroffen. Es handelt sich um Schulen in den Trägerschaften der Stadt Speyer, Kreis Germersheim, Verbandsgemeinde Herxheim, Bistum Speyer, Kreis Bad Dürkheim, Verbandsgemeinde Rheinauen, Verbandsgemeinde Lambsheim-Heßheim, Gemeinde Limburgerhof und der Stadt Neustadt.
Darüber hinaus kam es bei mehreren Schulen zu einer zumindest teilweisen Datenverschlüsselung und dem Abfluss von Daten. Die Täter drohen damit, diese Daten im Darknet zu veröffentlichen.
Die Landeszentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz hat unmittelbar nach Bekanntwerden des Angriffs in Zusammenarbeit mit den Experten des Landeskriminalamtes die Ermittlungen übernommen.
Gegenstand der Ermittlungen ist die Bestimmung des Datenleaks, die Identifizierung der Täter sowie die Bestimmung des Inhalts der verschlüsselten und zudem teilweise abgeflossenen Daten. Im Falle der täterseitigen Veröffentlichung der sogenannten Leakdaten werden diese durch Spezialisten des Landeskriminalamts in Hinblick auf Gefahren für die öffentliche Sicherheit und auf ermittlungsrelevante Erkenntnisse ausgewertet.
Zum jetzigen Zeitpunkt können keine weiteren Details zu den Tätern, deren Identität oder Motiven mitgeteilt werden. Das Landeskriminalamt steht kontinuierlich im Austausch mit den betroffenen Stellen, um relevante Erkenntnisse rasch auszutauschen und den IT-Dienstleister zu unterstützen.

Zum Thema Cyberattacke auf Schulen