Gut sechs Wochen nach dem Hackerangriff auf die Netzwerke von Karlsruher Schulen ist die Hebelschule wieder online. Das teilt die Stadt am Freitagmorgen in einer Pressemitteilung mit. Zu den Details des Angriffs macht sie mit Verweis auf die laufenden Ermittlungen weiterhin keine Angaben. Ein paar Hinweise zum aktuellen Stand liefert dafür das baden-württembergische Kultusministerium.
Derzeit gehe man von einem „automatisierten Angriff“ auf die Karlsruher Schulserver aus – also keiner gezielten Attacke. Das ist der Antwort des Ministeriums auf eine Kleine Anfrage des Brettener CDU-Abgeordneten Ansgar Mayr zu entnehmen, der in seiner Partei Beauftragter für Digitalisierung ist.
In dem Schreiben findet sich auch eine vage Erklärung, an welcher Stelle die Angreifer vermutlich ins System gekommen sind.
Administratorkomponente einer verbreiteten Software war das Ziel
Der „Angriff fokussierte sich auf eine Administrationskomponente, die auch an zahlreichen anderen Schulen in Baden-Württemberg zum Einsatz kommt“, antwortet das Ministerium. Details nennt es dabei nicht. Ob tatsächlich eine seit Jahren bekannte Sicherheitslücke in einem weit verbreiteten Programm zur Servervirtualisierung zum Einfallstor wurde, bleibt offen.
Diese Redaktion hatte Mitte Februar unter Berufung auf gut informierte Quellen berichtet, dass Sachverständige einer entsprechenden Spur nachgehen. Das Programm ist Teil der Schulsoftware „paedML“ und in 2.176 Schulen landesweit im Einsatz.
Auf Nachfrage korrigiert und ergänzt die städtische Pressestelle die bisherige Liste betroffener Schulen um zwei weitere. Im Laufe der Untersuchungen habe man festgestellt, dass die Marie-Luise-Kaschnitz-Schule ebenfalls gehackt wurde. In der Hebelschule fiel das erfolgreiche Eindringen der Angreifer erst auf, als der Server nach einigen Tagen wieder gesichert hochgefahren werden sollte. Zum Zeitpunkt der Abschaltung am 13. Februar sei dort kein Verwaltungsserver gelaufen und das Problem damit nicht feststellbar gewesen.
In den Server der Realschule am Rennbuckel, die bislang auf der städtischen Liste stand, konnten die Angreifer laut aktuellen Angaben doch nicht eindringen. Dort hat die Stadt die Technik nicht komplett ausgetauscht – anders als in den nun neun kompromittierten Schulen. Neben Hebel- und Marie-Luise-Kaschnitz-Schule sind das die Erich-Kästner- und die Adam-Remmele-Schule, die Hardtschule, die Schule am Turmberg, die Grundschule Wolfartsweier, die Realschule Neureut und das Markgrafen-Gymnasium.
Stadt will sich nicht zu den Kosten des Servertauschs äußern
Der zehnte neue Server steht in der Gutenbergschule. Das Gerät sei wegen seiner stark veralteten Hardware präventiv ausgetauscht worden. Einen sicheren Betrieb hätte man sich „auf Dauer nicht gewährleisten“ können.
Wie teuer der Servertausch war, will die Stadt auch auf Nachfrage nicht sagen. Man werde dazu „aufgrund der laufenden Ermittlungen keine Angaben machen“, heißt es aus der Pressestelle. Mit derselben Begründung verweigert man im Rathaus Informationen zu den Gesamtkosten, die der Hackerangriff verursacht hat.
Welche Schlüsse die Stadt und das Land aus der Attacke gezogen haben, deutet das Kultusministerium in seiner Antwort auf die Kleine Anfrage an. Das Karlsruher Stadtmedienzentrum und die Stadt „werden mögliche Optimierungspotenziale (Netzwerkarchitektur, Administration) definieren und sukzessive umsetzen“, heißt es.
Zudem werde die Cybersicherheitsagentur des Landes „Informationen zu Sicherheitslücken und die Handlungsempfehlungen (...) zeitnah auch allen Kommunen und damit einer Vielzahl von Schulträgern“ zur Verfügung stellen.
