IT-Sicherheit: Cyberattacke ging Phishing-Mail voraus

Laut Landratsamt wurde der Angriff auf das Medienzentrum München-Land zunächst nicht erkannt, weil die Täter mit einem übernommenen Account agierten. An den betroffenen Schulen herrscht Verunsicherung.

Die Cyberattacke auf das Medienzentrum München-Land, mit der Unbekannte die Datenverarbeitung von 75 Schulen im Landkreis München und im Landkreis Berchtesgadener Land lahmgelegt haben, wurde offenbar durch eine Phishing-Mail an eine Schule gestartet. Davon geht das Landratsamt München derzeit aus, bei dem das Medienzentrum angesiedelt ist. Laut Behördensprecherin Franziska Herr verschafften sich der oder die Täter durch einen übernommenen Account Zugang zum System der Amtlichen Schulverwaltung (AVS). Deshalb und aufgrund der professionellen Vorgehens hätten die vorhandenen Sicherheitssysteme den Angriff als solchen nicht registrieren können. Die Attacke sei im Landratsamt entdeckt worden, nachdem nach einem selbstständigen Neustart eines Servers ein Leistungsverlust aufgetreten sei. Den Vorgang habe man genauer analysiert und dabei den Angriff bemerkt. Sämtliche Netzverbindungen seien sofort getrennt worden.

Bis zu dem Hackerangriff auf die Einrichtung vor ein paar Tagen haben vermutlich nur wenige vom Medienzentrum München-Land gehört, das eine kommunale Einrichtung des Landkreises ist. Auf dem Server des Medienzentrums wurde bisher die ASV, ein schulartübergreifendes Verwaltungsprogramm, für 55 Schulen im Landkreis München sowie - per Amtshilfe - für 20 Schulen im Berchtesgadener Land betrieben. Die Angreifer verschlüsselten Daten wie Namen und Adressen mit einer Schadsoftware, sodass die Schulen keinen Zugriff mehr auf sie haben. Zentrale Aufgabe des Medienzentrums ist es aber eigentlich, Schulen, Kindergärten und sonstige Einrichtungen der Jugend- und Erwachsenenbildung mit Medien aus dem Bildungsbereich zu versorgen. Außerdem organisiert es Lehrerfortbildungen im medientechnischen und -pädagogischen Bereich.

Waren die Systeme genügend geschützt? War das Landratsamt auf solch einen Cyber-Angriff vorbereitet? Auf konkrete Maßnahmen möchte Herr nicht eingehen, um das System nicht offenzulegen. Sie verweist aber darauf, dass es im Landratsamt getrennte Systeme gebe, unter anderem die Verwaltungs-IT, die IT des Medienzentrums oder über externe Dienstleister bereitgestellte Systeme. Je nach Sensibilität der Daten unterschieden sich auch die Schutzkonzepte voneinander. Im Falle der Verwaltungs-IT gebe es beispielsweise ein mehrstufiges Sicherheitssystem, innerhalb dessen jeweils verschiedene Schutzmechanismen gleichzeitig griffen. Auch das stetig steigende Angriffsaufkommen aus allen Teilen der Welt konnten diese Sicherheitssysteme "dank intensiver und kontinuierlicher Arbeit lange Zeit erfolgreich abwehren", wie Herr sagt. Ziel der Schutzmaßnahmen sei es, die Angreifer möglichst lange und mit verschiedensten Mitteln auszubremsen. Beschäftigte des Landratsamts würden bezüglich der drohenden Gefahren geschult.

Ein Schulleiter fühlt sich allein gelassen

Ob auch die Mitarbeiterinnen und Mitarbeiter der Schulen etwa durch das Medienzentrum oder das Schulamt auf mögliche Phishing-Attacken und andere Angriffe vorbereitet werden, konnte das Landratsamt zunächst nicht sagen, weil die entsprechenden Kollegen laut Herr mit der Schadensbehebung ausgelastet sind. Wirklich vorbereitet auf einen Angriff fühlte man sich zumindest in zwei Schulen, bei denen die SZ anfragte, nicht. Eine Schulleiterin aus dem Landkreis München, die nicht namentlich genannt werden will, sagt, von Seiten des Medienzentrums habe es geheißen: "Wir sichern alles und Sie müssen sich um nichts kümmern." Die EDV-Abteilung der Gemeinde pflege für die Schule das Netz, und sensibilisiere auch dafür, dass man bei Mail-Anhängen vorsichtig sein müsse. Ein anderer Schulleiter bestätigt, dass das Medienzentrum zugesichert habe, dass die Daten sicher sind. Für diese Dienstleistung habe man auch gezahlt, sagt der Schulleiter, der ebenfalls anonym bleiben möchte. Bisher habe das Medienzentrum gute Arbeit geleistet. Nun fühlt er sich aber vom Landratsamt allein gelassen, wenn es heiße, es würde weder die Infrastruktur weiter zur Verfügung gestellt noch die Daten wiederhergestellt. Die Angreifer hatten per .txt-Datei eine Nachricht auf dem Server hinterlassen mit einer Geldforderung, verbunden mit der Aufforderung, sich übers Darknet mit einer Adresse in Verbindung zu setzen. Dem kommt das Landratsamt nach eigener Aussage freilich nicht nach.

Mit dem Angriff steht das Medienzentrum nicht alleine da. Laut dem aktuellen Lagebericht des Bundesamts für Sicherheit und Informationstechnik ist die Bedrohung im Cyber-Raum so groß wie nie. Danach sind Ransomware-Angriffe, wie auch auf das Medienzentrum, die größte Bedrohung. Darunter versteht man Cyber-Angriffe, bei denen Daten verschlüsselt werden, mit dem Ziel, Lösegeld zu erpressen.