Eine Schule gemäß Artikel 33 Abs. 1 DSGVO gemeldet, dass im Zuge eines Hacking-Angriffs sämtliche Daten auf dem Schulverwaltungsserver verschlüsselt wurden. Bei den Recherchen stieß die Datenschutzbehörde darüber hinaus im Internet auf den erbeuteten Datensatz.
Im Zuge routinemäßiger Recherchen hat das Fachreferat für den technischen und organisatorischen Datenschutz im Nachgang der Meldung herausgefunden, dass Daten der betroffenen Schule im Internet veröffentlicht wurden. Die Vorgehensweise, dass Angreifer Daten verschlüsseln und bei Nichtzahlung eines Lösegelds die Daten im Internet veröffentlichen, ist bekannt und wurde augenscheinlich im vorliegenden Fall angewandt. Eine Sichtung der Daten hat ergeben, dass u. a. Fotos von Schülerinnen und Schülern, Lehrkräften sowie Erziehungsberechtigten, Jahrbücher, Namen und Adressdaten von Schülerinnen und Schülern in Verbindung mit Passwörtern für den Zugang zu einem Portal zur Schulanmeldung sowie korrigierte und benotete Klassenarbeiten aus den Jahren 2017 und 2018 in Form von Scans veröffentlicht wurden.
Weitere Analysen des Vorfalls erforderlich
Die Schule wurde umgehend auf die Veröffentlichung der Daten hingewiesen und gebeten, Strafanzeige zu erstatten sowie die Löschung der Daten zu erwirken. Zudem wurde die Schule um Mitteilung der getroffenen Maßnahmen zur Sicherung des Schulverwaltungsservers gebeten. Die vom Landeskriminalamt Niedersachsen federführend vorgenommene Analyse und Dokumentation des Vorfalls wurde durch das technische Fachreferat der Datenschutzbehörde ausgewertet.
Ergebnis des Kontrollverfahrens
Im Ergebnis konnte nicht festgestellt werden, wie der Angriff auf das Schulsystem erfolgt ist (Phishing oder „gewaltsames“ Eindringen) oder was für die Schutzverletzung tatsächlich ursächlich war. Es gab keine Hinweise, dass die technisch-organisatorischen Maßnahmen der Schule vor dem Vorfall unzureichend waren. Ebenso wenig waren andere Versäumnisse nachweisbar. Die Veröffentlichung der Daten im Internet war der Schule in diesem Fall somit nicht zuzurechnen. Die Datenschutzbehörde hat daher von aufsichtsbehördlichen Maßnahmen abgesehen und Hinweise für zukünftige technische und organisatorische Schutzmaßnahmen gegeben.
Quelle: LFD Niedersachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks