Ransomware auch für Schulen ein Thema

Lesezeit: 5 Minuten

Schon seit längerer Zeit hört man immer wieder von Fällen, bei denen die IT in Firmen, Krankenhäusern und Verwaltungen durch sogenannte Ransomware lahmgelegt wird. Sehr häufig geschieht dieses, indem Mitarbeiter ein E-Mail öffnen, welches eine Schadsoftware enthält. Diese verschlüsselt zunächst die Dateien auf dem Rechner, auf welchem die Schadsoftware  durch das E-Mail gelandet ist. Danach werden alle mit diesem Rechner verbundenen Festplatten und Rechner, auch Server, ebenfalls verschlüsselt, sofern sie nicht über Schutzmechanismen verfügen. In Folge der Verschlüsselung können Mitarbeiter nicht mehr auf die Daten im System zugreifen. Wenn der Angriff durch die Ransomware nicht rechtzeitig entdeckt wurde und auch die Backups verschlüsselt wurden, besteht auch keine Möglichkeit mehr, die durch Verschlüsselung unzugänglichen Daten aus einem Backup wiederherzustellen. In der Regel stellt die Ransomware unmittelbar eine Lösegeldforderung an die Betroffenen. Oft ist diese in Form der virtuellen Währung Bitcoin zu bezahlen, um die Spuren zu verwischen und die Ermittlung der Täter zu erschweren. Wie man mit Bitcoin bezahlt, erklären die Hacker ihren Opfern mittels Anleitungen, oft sogar in Form eines Videos. Wie hoch die Lösegeldforderungen sind, hängt mitunter davon ab, wie die Hacker ihre Opfer einschätzen. In den USA gab es 2019 Fälle, bei denen die Stadtverwaltungen von Kleinstätten gezwungen waren, ein Lösegeld zu zahlen, da sämtliche Verwaltungsdaten ohne Zahlung verloren gewesen wären. Es ging in diesen Fällen um Zahlungen von etwa eine halben Million Dollar.

Wie jetzt aus dem Beitrag Cyberangriffe auf Schulen gefährden Schülerdaten (Neue Westfälische 31.07.2019) zu erfahren ist, waren auch schon Schulen in NRW in den vergangenen Monaten Opfer von Erpressungen durch Hacker. Eigentlich sollten technische und organisatorische Maßnahmen zum Schutz vor derartigen Angriffen selbstverständlich sein, auch in Schulen. Das ist jedoch, wie der Zeitungsbericht deutlich macht, nicht immer der Fall. An den einzelnen Schulen hängt vieles vom KnowHow vor Ort ab, sowohl beim Schulträger und bei beauftragten IT Dienstleistern, wie auch von den finanziellen Ressourcen und daraus resultierend der Ausstattung schulischer Netzwerke.

Wie können sich Schulen vor Ransomware schützen?

Sowohl die Schulgesetze wie auch die Datenschutzgesetzgebung verpflichtet Schulen als verantwortliche Stellen, für den Schutz und die Sicherheit der in der Schule verarbeiteten personenbezogenen Daten zu sorgen.1Siehe auch VO-DV I
§ 2
Verfahren der automatisierten Datenverarbeitung
(1) Die automatisierte Verarbeitung der personenbezogenen Daten ist zulässig auf ADV-Arbeitsplätzen und in Netzwerken, die für Verwaltungszwecke eingerichtet sind, auf sonstigen schulischen ADV-Anlagen und in
sonstigen Netzwerken, wenn jeweils über die Konfiguration die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und
Transparenz gemäß § 10 des Datenschutzgesetzes Nordrhein-Westfalen
gewährleistet sind.
Dazu gehört nicht nur ein Schutz vor unberechtigten Zugriffen, sondern auch ein Schutz vor Verlust der Daten. Wie in den meisten Fällen, wenn es um den Schutz von (personenbezogenen) Daten geht, gibt es auch hier zwei Teilbereiche, in denen man vorsorgen kann.

Technische Maßnahmen

Zum Schutz vor Ransomware ist auf technischer Seite ein Bündel an Maßnahmen erforderlich.

  • Auf allen schulischen Rechnern sollte ein guter und immer aktueller Virenschutz laufen.
  • Das Betriebssystem sollte aktuell sein und alle Sicherheitsupdates sollten eingespielt sein.
  • Da Virenscanner und Betriebssystem Updates nie einen einhundertprozentigen Schutz garantieren können, sollten von wichtigen Daten sollten regelmäßig Backups angelegt werden. Besonders wichtig ist dabei: diese Backups sollten auf Medien abgelegt werden, die physikalisch vom schulischen Netzwerk getrennt sind. Das kann eine externe Festplatte sein, ein USB Stick, eine DVD oder ein Bandspeicher. Das gilt auch für Sicherungen von Server-Verzeichnissen!2Grundsätzlich sollte es immer auch ein Backup geben, welches außerhalb der Schule gelagert wird, da es neben Ransomware auch das Risiko von physikalischer Zerstörung von Datenspeichern in der Schule geben kann, etwa durch Feuer oder Vandalismus.
  • Bei Windows Systemen, die in Schulen am weitesten verbreitet sind, ist das Remote Desktop Protocol (RDP) auch 2019 noch immer ein wichtiger Angriffsweg für Ransomware, um Rechner im Netzwerk zu infizieren. Aus diesem Grund sollte das Remote Desktop Protocol (RDP) auf Windows Rechnern deaktiviert sein.
  • Um in Schule tätigen Personen das Erkennen von möglicherweise gefährlichen Dateianhängen zu erleichtern, sollte auf Windows Systemen die Erweiterungen (Dateiendungen) bei bekannten Dateitypen nicht ausgeblendet werden (Explorer Einstellung).
  • Eine weitere Schutzmöglichkeit besteht darin, Berechtigungen innerhalb der Verzeichnisse des Netzwerks auf die tatsächlichen Erfordernisse zu beschränken. Nicht jeder in Schule muss Zugriff auf alle Bereiche in der Dateiablage haben. Hat eine Person z.B. Schreibrechte in Bereichen, die für sie nicht relevant sind, und sie wird aktiviert einen Ransomware Trojaner, so kann dieser alle Dateien verschlüsseln, für welche sie Schreibrechte besitzt.
  • Um die Gefahr schädlicher Links zu reduzieren, können in einigen E-Mail Clients Links deaktiviert werden. Für Thunderbird gibt es eine Erweiterung (TORPEDO), welche Links überprüft und auf Phishing Gefahren aufmerksam macht.

Schulleitungen sollten sich hier mit ihremSchulträger oder beauftragten IT Dienstleistern in Verbindung setzen und klären, welche technischen Maßnahmen bereits getroffen wurden, um die schulische IT, vor allem im Bereich der Schulverwaltung, entsprechend zu schützen, und wo eventuell zusätzliche Schutzmaßnahmen erforderlich sind.

Organisatorische Maßnahmen

Ransomware ist vor allem erfolgreich, da an Computern Menschen sitzen, auf welche Hacker es abgesehen haben. Benutzer öffnen schadhafte Anhänge, klicken auf unsichere Links oder laden Schadprogramme herunter und öffnen damit Ransomware Tür und Tor zum Zugriff auf einen Rechner und oftmals auch das schulische Netzwerk oder zumindest Teile davon. Begegnen kann eine Schule diesem nur durch eine Schulung und Sensibilisierung der in Schule tätigen Personen. Wichtige Themen sind hierbei:

Sicherer Umgang mit E-Mails

Vor allem wenn E-Mails Anhänge enthalten oder Links, sollte Vorsicht walten.

    • Ist der Absender unbekannt?
    • Kam das E-Mail unerwartet?
    • Wird im E-Mail darauf gedrängt, einen Anhang schnellstens zu bearbeiten oder einen Link unverzüglich aufzurufen?
    • Enthält das E-Mail ungewöhnliche Fehler in Rechtschreibung und Grammatik?
    • Hat der Anhang eine ungewöhnliche Dateiendung?

Im Zweifelsfall versichert man sich bezüglich der Echtheit des E-Mails mit einem Telefonanruf beim Absender. Anstatt Links in E-Mails direkt aufzurufen, gibt man einen Link besser im Browser von Hand ein oder geht über Lesezeichen, wenn es ein Link ist, der öfter genutzt wird. Je nach E-Mail Programm kann man sich die URL des Links auch anzeigen lassen und nachsehen, ob sie mit dem Text im E-Mail übereinstimmt.

Mittlerweile arbeiten Hacker vielfach sehr zielgerichtet und informieren sich über ihre Opfer.3Aus den USA sind hierzu zahlreiche Beispiele bekannt. Die Organigramme von Schulen und Schulverwaltungen bzw. Kontaktinformationen könnten dabei wertvolle Informationen liefern. Aus ihnen lassen sich nicht nur E-Mail Adressen entnehmen, sondern auch in welchem Verhältnis Personen zueinander stehen. So wäre es für Hacker recht einfach, einer Schulverwaltungskraft eine E-Mail mit der gefälschten E-Mail Adresse der Schulleitung zu senden und einem Anhang, etwa mit der Bitte, das Protokoll dringend noch einmal zu überprüfen. Wer wird da nicht verwundert wissen wollen, was es mit der Bitte auf sich hat. Ob und wann Hacker sich solcher Strategien auch bei Schulen bedienen, ist schwierig abzuschätzen. Trotzdem sollten Mitarbeiter in Schulen über solche und vergleichbare Strategien aufgeklärt werden.

Sicheres Surfen

Eigentlich sollte das ein bekanntes Thema sein, doch nicht jedem ist klar, dass auch auf Websites Ransomware auf Download und Ausführung lauern kann. Deshalb gilt, dubiose Seiten meiden, auch beim Ansteuern von bekannten Seiten immer mal auf die Adresszeile im Browser schauen, ob die URL stimmt und die Verbindung sicher ist.

Installation von Programmen aus unsicheren Quellen

An vielen Schulen ist es nicht gewünscht oder sogar aktiv unterbunden, dass Benutzer Programme eigenständig auf schulischen Rechnern installieren. In Schulen, wo eine Programminstallation möglich ist, sollten Benutzer darauf achten, Programme nur von bekannten, sicheren Quellen herunterzuladen und zu installieren.

Wie reagieren, wenn der Rechner befallen ist?

Sollte es passieren, dass ein Rechner doch von Ransomware infiziert wurde, sollte man diesen Rechner sofort vom Netzwerk abklemmen, wenn möglich, und herunterfahren. Danach müssen die Verantwortlichen informiert werden, so dass ein Fachmann den Schaden eingrenzen und beheben kann.

Ransomware Informations Flyer

Um Mitarbeitern in Schule eine Merkhilfe an die Hand zu geben, gibt es einen Flyer zum Download.4Wer eine bearbeitbare Version für Anpassungen haben möchte, kann diese per E-Mail erfragen.

Download Ransomware Flyer.pdf

Datenschutz im Klassenraum

Lesezeit: 2 Minuten

Ein guter Hinweis von Corinna Lammert auf Twitter. Viele Schulen fungieren während Wahlen als Wahllokale. Das bedeutet, es kommen viele Menschen in die Klassenzimmer, in welchen die Stimmbezirke ihre Wahlurnen aufgestellt haben. Viele dieser Menschen mögen die Kinder kennen, in deren Klassenraum sie ihre Stimme abgeben. Trotzdem haben sie damit kein Anrecht darauf, Einblick in persönliche Informationen aus der Schule zu nehmen. Selbst Informationen, die harmlos erscheinen, können durchaus mehr über eine Person sagen, als man zunächst vermutet. Ein Foto im Klassenraum der 2a kann einem Nachbarn, der das vielleicht nicht weiß, die Information geben, dass ein Kind eine Klassen wiederholt. Entsprechend fordert Frau Lammert richtig:

„Liebe Wahlämter, informiert doch bitte die Schulen, in denen gewählt wird, über notwendige Maßnahmen zum Datenschutz am Wahltag. Korrigierte Tests und Fotowände mit Namen und Geburtstagen dürfen nicht für alle Wähler*innen am Wahltag einsehbar sein.“

Es kommen natürlich auch andere Personen in den Klassenraum, vom Hausmeister bis zu den Reinigungskräften. Diese Personen werden in der Regel durch ihren Arbeitgeber zur Verschwiegenheit verpflichtet. Möglicherweise sensible Informationen sollten jedoch trotzdem grundsätzlich nicht offen herumliegen, so etwa Tests und Klassenarbeiten, vor allem wenn sie bewertet sind, denn es gibt durchaus auch Situationen, in welchen andere Personen in die Klassenräume kommen, etwa Handwerker.

Auch wenn Lehrkräften im hektischen Alltag in der Schule oft die Zeit fehlt am Ende einer Stunde oder des Schultages, Materialien in Schränke und Schubladen zu verstauen, so sollte man Materialien mit möglicherweise sensiblen Informationen zumindest umdrehen oder abdecken, so dass der Inhalt nicht direkt offensichtlich ist. In der Regel reicht dieses bei vielen Materialien als Schutz in der Klasse oder im Lehrerzimmer bereits aus. Wirklich sensible Informationen hingegen sollten nie offen zugänglich bleiben!

Ein Wahltag kommt selten vor und ein Hinweis vorab wäre in der Tat angebracht, denn nicht jede Lehrkraft weiß, dass ihr Klassenraum als Wahllokal dient, vor allem wenn die Lehrkräfte ortsfremd sind. Fotowände in der Klasse könnte man dann eben mit einem Tuch abhängen.

Weitere Informationen zu technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten in der Schule finden sich unter Technische und organisatorische Maßnahmen.

Technische und organisatorische Maßnahmen

Lesezeit: 2 Minuten

Die Dokumentation der technischen und organisatorischen Maßnahmen ist Bestandteil eines jeden Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DS-GVO. In diesem letzten Teil der Dokumentation einer Verarbeitungstägikeit geht es um eine Beschreibung der Maßnahmen, mit welchen der Verantwortliche den Schutz der verarbeiteten personenbezogenen Daten sicherstellt. Es wird nicht nur für die Kontrolle durch die zuständige Aufsichtsbehörde erstellt, sondern dient auch der Selbstkontrolle des Verantwortlichen durch den Datenschutzbeauftragten. Von daher sollte es ausreichend detailliert sein, um diesem Zweck zu genügen.

Um welche Maßnahmen es geht, beschreibt Art. 32 DS-GVO Sicherheit der Verarbeitung. Der Verantwortliche muss durch geeignete Maßnahmen dafür sorgen, dass die Sicherheit der Verarbeitung gewährleistet ist. Außerdem muss er durch Maßnahmen vorbeugen, dass es zu einer Verarbeitung kommt, die gegen die DS-GVO verstößt. Dabei sollen sich die Maßnahmen am Stand der Technik orientieren und die Art, den Umfang, die Umstände und Zwecke der Verarbeitung berücksichtigen, sowie das Risiko, welches mit einer Verletzung des Datenschutzes für die Rechte und Freiheiten der Betroffenen einhergeht.

Für Schule bedeutet dieses, dass für besonders schützenswerte personenbezogene Daten ein höheres Schutzniveau gelten muss als für allgemeinere Daten. Die Datenschutz Grundverordnung beschreibt diese Art von Daten in Art. 9 als besondere Kategorien von personenbezogenen Daten. In Schule fallen unter diese Datenkategorie Gesundheitsdaten, Daten zur sexuellen Orientierung, zu Religion, zu ethnischem Hintergrund und zum sonderpädagogischen Förderbedarf1Dass es sich bei letzteren um besonders schützenswerte personenbezogene Daten handelt, berücksichtigt auch die VO-DV I, indem sie die automatisierte Verarbeitung auf Ergebnisse und Befunde beschränkt. Siehe dazu auch VO-DV I Anlage 1 Abschnitt C IV.

Wie der Name Technische und Organisatorische Maßnahmen (TOM) sagt, betreffen die Maßnahmen zwei Bereiche, die technische Gestaltung der Schutzmaßnahmen und die organisatorische.

Beispiele für technische Maßnahmen

  • abschließbarer Raum (z.B. Sekretariat, Schulleiterbüro, Serverraum)
  • verschließbarer Aktenschrank im Sekretariat
  • Aufbewahrung von Unterlagen zum sonderpädagogischen Förderbedarf in einem Umschlag innerhalb der Schülerakte
  • abgestufte Benutzerrechte in Programmen (z.B. in SchiLD NRW) und im Dateisystem (z.B. im Verwaltungsnetz)
  • Alarmanlage, Einbruchssicherungen
  • unabhängige Stromversorgung zur Vermeidung von Datenverlust bei Stromausfall
  • Steckdosen mit Überspannungsschutz
  • Rauchmelder
  • BackUp System
  • Zugriffschutz per Passwort
  • automatische Bildschirmsperre
  • automatische Abmeldung am Rechner nach einer Zeit der Inaktivität
  • Virenschutz
  • Firewall
  • Verschlüsselung von Datenträgern
  • Pseudonymisierung von Nutzerdaten
  • regelmäßige Betriebssystem Updates
  • automatische Protokollierung von Verarbeitungsvorgängen

Beispiele für organisatorische Maßnahmen

  • Schlüssel mit verschiedenen Berechtigungen
  • Vergabe von Zugriffsrechten an Lehrkräfte und Mitarbeiter entsprechend ihrer Funktionen in der Schule
  • Schulungen zu Datenschutz und -sicherheit
  • Belehrungen
  • regelmäßige Kontrolle der Backup Funktion
  • regelmäßige Kontrolle und Aktualisierung von Zugriffsrechten
  • regelmäßige Änderung von Passwörtern
  • Löschen der Zugänge von ausgeschiedenen Mitarbeitern und Lehrkräften, welche die Schule verlassen haben
  • Auslagerung von BackUps
  • keine personenbezogenen Daten per unverschlüsseltem E-Mail versenden
  • keine Weitergabe von personenbezogenen Daten am Telefon, ohne Absicherung, wer der Gegenüber ist
  • Markierung von Schülern im Schulverwaltungsprogramm, bei denen gegenüber bestimmten Personen keine Auskunft gegeben werden darf
  • Testen der Datenwiederherstellung aus BackUps
  • stichprobenartige Kontrollen der Einhaltung von datenschutzrechtlichen Vorgaben durch die Schulleitung
  • BackUps vor Aufspielen von größeren Updates in Software und System
  • Erteilung von Auskunft entsprechend dem Auskunftsrecht der betroffenen Person erst nach Vergewisserung der Identität der anfragenden Person
  • Verarbeitung von personenbezogenen Daten aus der Schule auf Privatgeräten von Lehrkräften erst nach Erteilung einer Genehmigung durch die Schulleitung
  • Auslesen sensibler Protokolldaten (z.B. Zugriff von Usern auf Internetseiten) nur im Vier-Augen-Prinzip.
  • Erstellung und Implementierung eines schulischen Datenschutzkonzeptes

Vorlagen finden sich im Downloadbereich unter Verzeichnis von Verarbeitungstätigkeiten

Dort finden Sie auch die Vorlage für ein ausführliches Sicherheitskonzept (Schulisches Sicherheitskonzept Datenschutz – Verwaltung.docx).