Vom Datendiebstahl beim Basler Erziehungsdepartement (ED) sind 761 Personen direkt betroffen. Dies teilte die Behörde nach einer Analyse der im Darknet publizierten Daten mit.
Von diesen 761 Personen wurden vermutlich auch Dateien «mit potenziell sensiblem persönlichen Inhalt» gestohlen und publiziert. Das können zum Beispiel Abklärungen durch den Schulpsychologischen Dienst oder auch der KESB sein.
Insgesamt sind im gehackten Netzwerk «eduBS» über 30'000 Nutzer registriert. Von der Cyberattacke sind gemäss Mitteilung also rund 3 Prozent direkt betroffen. Eine Gruppe von Cyberkriminellen hat von insgesamt 1133 Accounts des Bildungsservers Daten entwendet und ins Darknet gestellt.
Von den 761 direkt betroffenen Personen sind 224 Schülerinnen und Schüler, 195 Lehrpersonen sowie 342 Mitarbeitende der Verwaltung.
Die Abteilung Digitalisierung und Informatik des ED analysierte die Datenverzeichnisse. Diese geben Aufschluss über die Besitzer der Daten und über die Dateinamen, nicht aber über die Inhalte. Aus Datenschutzgründen wurden diese nicht geprüft.
Zudem haben die 30'000 Nutzerinnen und Nutzer des Netzwerks die Möglichkeit, per Mail einen Selbstcheck zu machen. Sie erhalten dann eine Antwort, ob sie vom Datendiebstahl betroffen sind.
Das ED hatte die rund 30'000 Nutzerinnen und Nutzer des gehackten Netzwerks «eduBS» erst rund zwei Monate nach Bekanntwerden des Angriffs aufgefordert, ihr Passwort zu ändern.
In der Zwischenzeit hatte sich die Schulbehörde Hilfe geholt bei einer externen IT-Sicherheitsfirma und verschiedene Massnahmen eingeleitet.
Späte Reaktion des Kantons löst Kritik aus
Mit einem Cyberangriff müsse man heutzutage zwar rechnen, sagt Michael Wüthrich, Informatiklehrer am Basler Gymnasium Leonhard. Allerdings kritisiert der ehemalige Grossrat der Grünen, dass die Schulbehörde viel zu lange gewartet habe, bis sie alle Nutzerinnen und Nutzer aufgefordert hat, ihre Passwörter zu ändern.
«Wenn man einen Hackerangriff feststellt, muss eine der ersten Massnahmen sein, sämtliche Benutzeraccounts zu deaktivieren und die User auffordern, ihr Passwort zu ändern – und zwar innerhalb von kurzer Zeit», so Wüthrich. Im vorliegenden Fall ist das erst rund zwei Monate nach der Erpressung passiert.
Die Hacker-Bande «BianLian» verübte im Dezember 2022 einen Angriff auf einen Computer im Netzwerk des Erziehungsdepartements. Dies mit dem Ziel, unter Androhung der Datenpublikation im Darknet Geld zu erpressen. Die Verantwortlichen gingen nicht auf den Erpressungsversuch ein. Mitte Mai veröffentlichten die Cyberkriminellen 1.2 Terabyte Daten im Darknet.
Betroffen sind Daten aus dem Netzwerk «eduBS»: Ein Netzwerk, das der Basler Schülerschaft sowie den Lehrpersonen zur Verfügung steht. Das Netzwerk ist vom restlichen kantonalen Datennetz isoliert.
Die Gruppierung «BianLian», welche das Basler Erziehungsdepartement attackiert hat, ist bekannt. Die Hackergruppe ist seit Sommer 2022 aktiv und hat weltweit bereits über hundert Unternehmen und Institutionen angegriffen.
Der Kanton Basel-Stadt hat bei der Staatsanwaltschaft eine Anzeige gegen Unbekannt erstattet.
Dass die umgehende Aufforderung zur Passwortänderung eine Standardmassnahme ist, sagt auch Martin Lutz, Experte für Cybersicherheit bei der IT-Firma Axians. «Wenn man sich vor Augen führt, dass eine so bekannte und grosse Hackergruppe hinter einem solchen Angriff steht, kann man auch davon ausgehen, dass weitere Benutzer betroffen sind.»
Im Normalfall sollte die Änderung der Passwörter in 24 bis maximal 48 Stunden geschehen, so der IT-Experte.
«Nach aktuellem Wissensstand gehandelt»
Der Basler Erziehungsdirektor Conradin Cramer sagt, er habe umgehend reagiert, als das Ausmass des Angriffs klar geworden sei. «Als wir realisiert haben, dass auch die Passwortdatenbank gestohlen wurde, haben wir alle Nutzer aufgefordert, ihre Passwörter zu ändern.» Und das sei bei rund 30'000 Nutzern, darunter Tausende Lehrerinnen und Schüler, keine einfache Aufgabe.
Es seien schwierige Entscheide gewesen. Einerseits sei lange nicht klar gewesen, welche Daten gestohlen wurden, und der Schulbetrieb habe weiterlaufen müssen. Andererseits war Ende Januar klar, dass der Angriff von gerissenen Cyberkriminellen ausging. «Möglicherweise hätten wir rückblickend unsere Nutzer früher aufgefordert, ihr Passwort zu ändern, wenn wir das Ausmass des Datendiebstahls damals schon gekannt hätten», so Cramer.
Ist das Schulnetz jetzt sicher?
Der Bildungsdirektor geht davon aus, dass das Netzwerk bereits ab Januar wieder sicher war und die Hacker keine weiteren Daten mehr stehlen konnten.
Informatiklehrer Wüthrich ist skeptisch. Er hält es für möglich, dass die Hacker noch immer gewisse Zugänge haben. Ausserdem hat er eine Vermutung, wieso das Erziehungsdepartement erst spät reagiert hat. «Man hat aus meiner Sicht versucht, das Ganze unter dem Radar verschwinden zu lassen. Hoffnung ist gut, aber Handeln ist besser.»
