Cyberangriff auf Messenger - das müssen Schüler wissen
Im Oktober 2022 gab es einen massiven Cyberangriff auf Grund- und Mittelschulen im Landkreis Berchtesgadener Land. In den Faschingsferien wurde nun der Messenger-Dienst am Karlsgymnasium Bad Reichenhall lahmgelegt. Während sich beim letzteren Vorfall zwar der Schaden in Grenzen hält, gilt es für die Betroffenen dennoch etwas zu beachten. Im Gespräch mit BGLand24.de erklärt ein IT-Experte, worauf es ankommt.
Bad Reichenhall - „Da ist nur eine belanglose Datenbank zerstört worden.“ Rainer Dieckmann, Direktor des Karlsgymnasiums, will aus einer Mücke keinen Elefanten machen. Während der Faschingsferien funktioniert plötzlich der Messenger-Dienst Element, den die Schule seit der Pandemie nutzt, nicht mehr. Bei der IT-Analyse stellt sich heraus, dass es sich um einen Hackerangriff aus dem Ausland handelt. Im Vergleich zum großen Angriff auf Grund- und Mittelschulen im Landkreis im letzten Herbst ist der Schaden tatsächlich gering.
Die Schule nimmt nach Ostern an einem Pilotprojekt mit einem neuen Messenger-Dienst des Kultusministeriums teil und muss nun auch nicht wieder mit Element von vorne anfangen. Bis dahin setzt der Direktor auf die klassische Kommunikation durch persönliche Gespräche. Obwohl er sich sicher ist, dass keine sensiblen Daten aus der Kommunikation abgeflossen sind, möchte er den Fall dennoch der Polizei melden. „Höchstens die Klarnamen sind vielleicht aus der Datenbank bekannt geworden.“ Die Klarnamen der Schüler findet man aber auch in jedem Jahresbericht einer Schule.
Die Schüler müssen vorbereitet sein
Der IT-Experte Franz Obermayer jun. aus Traunstein bestätigt: „Die Konsequenzen werden in diesem Fall ohne weiteres nicht tragisch sein.“ Aber auch wenn lediglich Klarnamen abgegriffen wurden, können Hacker daraus weitere Informationen ableiten. „Es kann gegebenenfalls interessant sein, E-Mail-Adressen zu bauen. Da reicht teilweise schon Google aus, um zusätzliche öffentliche Informationen zu erhalten. Ein Facebook-Leak wäre eine weitere Datenquelle. Aus diesen Informationen kann man mit hoher Wahrscheinlichkeit eine echte E-Mail-Adresse herausfinden. So ein Angreifer könnte dann etwa eine relativ gezielte Phishing-Kampagne starten. Dann kann ich mich beispielsweise als Direktor ausgeben und eine Information faken und versuchen, die Schüler zum Klicken eines weiteren Links zu verführen“, so der Fachmann.
Wichtig ist, dass die Schüler in so einem Fall wissen: Es könnte eine Mail oder SMS kommen, die ganz gezielt mit Daten der Schule arbeitet und versucht, zum weiteren Angeben von Anmeldedaten zu verleiten. Solange dieses Bewusstsein bei den Schülern vorhanden ist und niemand auf Phishing-Versuche anspringt, ist also alles im grünen Bereich.
Wie bemerkt man einen Hackerangriff und wie verhält man sich richtig?
Das Karlsgymnasium hat den Hack daran bemerkt, dass Element schlicht nicht mehr funktionierte. Oft aber gibt es andere Anzeichen. Einen aktiven Zugriff erkennt man etwa daran, dass man nachschaut, welche Anmeldeversuche es auf dem System gab und auf welche Informationen jemand Zugriff hätte. „Häufig entdeckt man den Angriff aber erst dann, wenn eine Welle an besonderen Phishing-Versuchen folgt“, so Obermayer.
Zunächst weiß man ja nicht, welche Daten der Angreifer hat. Die erste Wahl ist auf jeden Fall, seine Kennwörter zu ändern. „Sollte man diese Kennwörter auf einem anderen System auch verwendet haben, unbedingt auch ändern. Mit dem Hinweis: Bitte niemals ein Passwort auf zwei Systemen nutzen!“
Auch mit der Polizei zu sprechen, schadet nicht. Denn selbst wenn diese zunächst nicht viel herausfinden kann, weiß sie schon einmal Bescheid, falls sich Fälle häufen und Muster zu erkennen sind. „Man muss auch mit der Datenschutzbehörde sprechen, falls personenbezogene Daten abhanden gekommen sind“, mahnt Obermayer. Für Fachleute wie ihn gibt es forensische Möglichkeiten, um herauszufinden, welche Daten abgeflossen sind. „Das erleichtert auch die Wiederherstellung.“
Wie kann man sich schützen?
Vorbeugen ist auch hier besser als heilen. „Grundsätzlich ist zu empfehlen, Muktifaktor zu verwenden, sprich nicht nur Benutzername und Kennwort, sondern über eine Authenticator App oder einen Hardware Token einen Faktor zu verwenden, der mich als Person identifiziert“, sagt der Experte. Im Businessumfeld gäbe es noch Maßnahmen, die sehr viel weiter spinnen.
Obermayer empfiehlt auch jedem Anwender den sogenannten digitalen Ersthelfer vom Bundesamt für Sicherheit in der Informationstechnik zu machen. „Das ist ähnlich wie beim medizinischen Ersthelfer. Danach weiß ich im Zweifelsfall, wen ich kontaktieren und welche ersten Schritte ich einleiten kann.“
mf