Mit einer Cyberattacke auf das Medienzentrum München-Land haben Unbekannte 75 Schulen im Landkreis München und im Landkreis Berchtesgadener Land hart getroffen. Der Angriff richtete sich gegen die Amtliche Schulverwaltung (ASV), ein schulartübergreifendes Verwaltungsprogramm, das die Bildungseinrichtungen bei administrativen Aufgaben unterstützt. Daten, die auf Servern des Medienzentrums München-Land lagen, sind mit einer Schadsoftware verschlüsselt worden und derzeit nicht verfügbar. Die Täter haben eine Geldforderung auf dem Server hinterlassen, verbunden mit der Aufforderung, sich übers Darknet mit einer Adresse in Verbindung zu setzen. Das wird vom Münchner Landratsamt nach eigener Aussage freilich ignoriert.
Das Landratsamt, bei dem das Medienzentrum angesiedelt ist, informierte am Montag die 55 Schulen im Landkreis München und 20 im Berchtesgadener Land über den Angriff, der bereits vergangenen Donnerstag erfolgt ist. Es handelt sich hauptsächlich um Grund- und Mittelschulen, im Landkreis München sind aber auch einige weiterführende Schulen betroffen. Derzeit würden neue Server installiert und es werde daran gearbeitet, Daten wieder herzustellen. Betroffen sind unter anderem Namen und Adressdaten sowie Daten zu Abläufen des Schulalltags, wie beispielsweise Stundenpläne, die derzeit laut Landratsamt München nicht nutzbar sind.
Der Schulbetrieb selbst ist offenbar nicht beeinträchtigt. "Es ist an keiner Schule so, dass der Lehrbetrieb eingestellt wird", bestätigt Landratsamt-Sprecherin Franziska Herr. Wie sich der mangelnde Zugriff auf die ASV an den Schulen tatsächlich auswirkt, dazu wollen sich die angefragten Schulen nicht offiziell äußern. Sie verweisen darauf, angehalten worden zu sein, vorsichtig mit den Informationen zu dem Angriff umzugehen.
"Es fehlen Lehrer an jeder Ecke, jetzt auch das noch, das bringt uns in die Bredouille."
Laut einer Verwaltungsmitarbeiterin einer Schule im Landkreis München, die nicht namentlich genannt werden will, sind alle Daten der Schüler und Lehrer von Adressen bis hin zum Geburtsdatum und der Herkunft betroffen. "Das Problem wird sein, wie wir wieder an die Daten herankommen, wir haben keine Sicherung", sagt sie. Die Leiterin einer Schule, die ebenfalls nicht genannt werden will, sagt: "Es wird sehr viel Arbeit auf uns zukommen, es fehlen Lehrer an jeder Ecke, jetzt auch das noch, das bringt uns in die Bredouille."
Laut Landratsamt wurde der Angriff binnen weniger Minuten entdeckt. Daraufhin seien umgehend alle Verbindungen zwischen den Servern sowie zum Internet unterbrochen worden. Dennoch konnte eben nicht verhindert werden, dass auf den Servern befindliche Daten verschlüsselt wurden. Die Schulen wurden am Montag über den Angriff und die Konsequenzen informiert. In einem Schreiben des Medienzentrums erfuhren sie auch, dass "mit sehr hoher Sicherheit" davon ausgegangen wird, "dass keine Daten abgeflossen sind". Zudem wurden alternative Lösungen für den Betrieb präsentiert. Denn wie es in dem Schreiben ebenfalls heißt, kann das Medienzentrum "in der erforderlichen Kurzfristigkeit keine Umgebung mit derart verschärften Sicherheitsvorkehrungen bereitstellen, um die Wiederholung einer solchen Attacke auszuschließen".
Wie das Landratsamt mitteilt, wird das Medienzentrum die Schulen dabei unterstützen, eigene Server im jeweiligen Schulnetz einzurichten oder einen Dienstleister in Anspruch zu nehmen. Dass die Schulen erst am Montag informiert wurden, begründet Pressesprecherin Herr damit, dass im Medienzentrum selbst zuerst neue Server eingerichtet werden mussten, um nachzuvollziehen, was passiert ist. Zudem sei zwischenzeitlich der Landesbeauftragte für den Datenschutz über den Angriff informiert worden.
Wann die Schulen wieder auf ihre Daten zugreifen können, wird sich zeigen. Laut Landratsamt besteht die Hoffnung, dass zumindest weite Teile der Daten in Kürze wiederhergestellt werden können. Turnusgemäß erhebt das bayerische Kultusministerium im Oktober die amtlichen Schuldaten, wobei die Schulen ihre aktuellen Daten anonymisiert an die Behörde übermitteln. Laut Landratsamt erstellen die Schulen dabei üblicherweise Sicherungen ihrer Daten. Im günstigsten Fall können die Daten aus diesen Sicherungen innerhalb weniger Tage wieder neu eingespielt werden. In Schulen, bei denen keine aktuellen Sicherungsdateien vorliegen, müssen die zerstörten Daten neu erfasst werden.
Die Speichermedien waren zum Zeitpunkt der Attacke mit den Servern verbunden
Das Medienzentrum kann die Daten dagegen "bedauerlicherweise", wie es in dem Schreiben an die Schulen heißt, nicht wiederherstellen. Denn die Speichermedien zur Sicherung waren zum Zeitpunkt des Angriffs wegen der Oktober-Statistik mit einem Server verbunden und wurden ebenfalls zerstört. Auf die auf den Servern hinterlegten Datenbanken kann daher zurzeit nicht zugegriffen werden.
Immerhin: Die Daten, die zum Schutz der Inhalte auf den Servern des Medienzentrums verschlüsselt abgelegt werden, sind durch den Angriff höchstwahrscheinlich nicht in fremde Hände gelangt, wie es vom Landratsamt heißt. Zudem sind von der Attacke ausschließlich die Server betroffen, auf denen die amtliche Schulverwaltung betrieben wird. Weitere Bereiche des Medienzentrums wurden nicht attackiert. Auch die IT-Systeme der Landkreisverwaltung sind nicht betroffen, weil Medienzentrum und Landkreisverwaltung unterschiedliche Netzwerke nutzen.
Im Landratsamt existiert ein mehrstufiges Sicherheitssystem, innerhalb dessen verschiedene Schutzmechanismen gleichzeitig greifen. In den meisten Fällen ist der Schutz laut Landratsamt damit selbst dann noch gewährleistet, wenn einer der Schutzmechanismen überwunden werde. Den aktuellen Angriff nimmt die Behörde nach eigenen Angaben zum Anlass, die regelmäßigen Überprüfungen der bisherigen Sicherheitsmaßnahmen zu sichern und - falls nötig - zu optimieren.
