An dem Wochenende vom 10.-12. Februar 2023 sind acht Karlsruher Schulen Ziel einer Cyberattacke geworden. Dabei haben unbekannte Täter:innen eine Schadstoffsoftware eingeschleust und somit Systemdaten auf den Schulservern verschlüsselt. Für die Freigabe der verschlüsselten Daten forderten die Täter:innen pro Schule zwei Bitcoins. Das wären nach aktuellem Kurs etwa 41.000 Euro. Nach Angaben der Stadtverwaltung sind keine personenbezogenen Daten betroffen. Die Server dieser Schulen sowie 70 weitere wurden heruntergefahren. IT-Spezialist:innen und Cybersicherheitsexpert:innen haben darauf die Untersuchung aufgenommen und die einzelnen Server überprüft (vgl. https://www.swr.de/swraktuell/baden-wuerttemberg/karlsruhe/schulen-in-karlsruhe-gehackt-100.html).
Welche Gefahren und Probleme birgt die Digitalisierung noch und wie können sich Schulen davor schützen? Könnten auch personenbezogene Daten gefährdet sein? Was sollten zukünftige Lehrkräfte darüber wissen und wie können sie zum Schutz beitragen?
Naemi Scherbel (Von Studierenden für Studierende)
Dieser Vorfall der Cyberattacke ist leider kein Einzelfall. In den vergangenen Jahren waren mehrere Schulen, Universitäten und Behörden von Hackerangriffen betroffen. Hierbei blieben auch Datensätze von Schüler:innen, Eltern und Lehrkräften oftmals nicht verschont. Die vermehrten Aktivitäten im Bereich der Cyber-Kriminalität sowie Cyber-Angriffe sind nach Angaben dem russischen Angriff auf die Ukraine und vor allem unzureichender Produktqualität und Sicherheit von IT und Software-Produkten geschuldet. Somit benötigen die Systeme professionellere Sicherheits- und Schutzmaßnahmen, um Daten und damit auch das Persönlichkeitsrecht zu schützen (vgl. https://www.news4teachers.de/2022/11/die-gefaehrdungslage-im-cyber-raum-ist-so-hoch-wie-nie-wer-schuetzt-die-daten-von-schuelern-eltern-und-lehrern/).
Jedoch verfügen nur wenige Einrichtungen über eine ausreichende Ausstattung, um diese Sicherheit zu gewährleisten. Mangelnde Schutzvorkehrung, wie das Fehlen von IT-Beauftragten, sind insbesondere an Schulen die Regel. Relevant wäre hierbei eine regelmäßige Analyse der Systemsicherheit sowie den Erhalt dieser. E-Mails mit infiziertem Anhang sind häufig der Ausgangspunkt für einen solchen Cyberangriff. Diese kommen nach Angaben nicht von dubiosen Absendern, sondern verwenden bekannte E-Mail-Adressen.
Daraus stellt sich die Frage, ob es rechtlich vertretbar ist, wenn Lehrkräfte für Dienstangelegenheiten ihre privaten Endgeräte nutzen. Für die Beantwortung dieser Fragestellung hat das nordrhein-westfälische Schulministerium eine umfangreiche Dienstanweisung herausgegeben. Diese enthält sehr strenge Voraussetzungen, welche Lehrkräfte bei der Nutzung privater Geräte zu erfüllen haben. Werden diese Vorgaben nicht erfüllt, macht man sich strafbar. Die Schulleitung hat jeweils die Entscheidung dafür zu treffen. Da allerdings die Nutzung privater Endgeräte zu hohe Risiken mit sich bringen, ist der Sicherheitsaspekt nicht überschaubar. Deshalb wird von einer Nutzung privater Geräte abgeraten (vgl. https://www.news4teachers.de/2020/01/immer-oefter-sind-schulen-angriffsziele-von-hackerangriffen-wer-schuetzt-lehrer-vor-datendiebstahl-und-cyber-erpressung/).
Um hohe Sicherheitsstandards gewährleisten zu können, benötigen Einrichtungen mehr Kapital. Dies umfasst sowohl den zeitlichen als auch den finanziellen Aspekt. Zwar werden Schulen häufig mit Technik ausgestattet, Gelder für laufende Kosten sind hingegen nicht eingeplant und kein Bestandteil der Fördertöpfe. Auch gibt es für Lehrkräfte digitale Fortbildungen. Da diese bereits in vielen Fällen sowieso schon überlastet sind, fehlt hier die Zeit, diese im Alltag zu integrieren und das Erlernte umzusetzen. Zudem verlangt die Digitalisierung eine Umstrukturierung des Unterrichts. Hinzu kommt, je mehr Geräte sich in das Schulnetz einklinken, desto mehr Probleme mit Daten und Verbindung entstehen. Hier ist die Infrastruktur überlastet. Aus Datenschutzbedenken können neue und oft sinnvolle Software nicht eingesetzt werden. Die Datenschutzangst sorgt dafür, dass viele digitale Angebote nicht im Klassenzimmer integriert werden, aus der Befürchtung heraus, etwas falsch oder sich gar strafbar zu machen. Hier wünschen sich viele Lehrkräfte ein Wissen und ein Leitfaden darüber, welche Daten wie gesammelt werden dürfen. Herrschende Datenschutzmaßnahmen sind allerdings in Zukunft nicht dazu geeignet zu schützen. So wäre es notwendig, klare Maßnahmen und Möglichkeiten gegen Datenmissbrauch zu schaffen, anstatt für jede Erlaubnis ein vier Seiten Formular einzufordern (vgl.https://future-teach.de/?page_id=43).
Daraus wird deutlich, dass Schulen und andere Einrichtungen mehr finanzielle Mittel für die Gewährleistung ausreichender Sicherheit von Servern und Daten benötigen. Jede Einrichtung sollte in diesem Rahmen mindestens eine oder einen IT-Beauftragte:n beschäftigen können. Außerdem ist die Weiterbildung von Lehrkräften im digitalen Bereich relevant. Hierfür sollte ihnen im beruflichen Alltag Zeit eingeräumt und eine Anregung durch Vergütung geschaffen werden. Zusätzlich wäre das Zur-Verfügung-Stellen eines Leitfadens für Lehrkräfte empfehlenswert. Dabei liegt die Verantwortung für einen richtigen Umgang zum einen in der Hand des Einzelnen als auch in der der Ministerien und damit der Länder.