Zwei Jahre kein Update
Wie konnten Cyber-kriminelle die IT von mindestens acht Karlsruher Schulen lahmlegen? Eine erste Spur facht eine politische Debatte an.
An hunderten Schulen im Land prüfen dieser Tage It-verantwortliche die Sicherheitseinstellungen der Netzwerke. Anlass ist der Hack von mindestens acht Schulen in Karlsruhe. Wie diese Zeitung aus gut informierten Quellen erfuhr, verfolgen Sachverständige eine Spur, der zufolge Angreifer für die Attacke eine seit Jahren bekannte Sicherheitslücke in einem weit verbreiteten Programm zur Servervirtualisierung ausgenutzt haben könnten. Unter anderem fungiert es als Komponente der Schulsoftware „paedml“. Und die nutzen 2176 Schulen im Land.
„Paedml“steht für „Pädagogische Musterlösung für schulische Computernetze“. Anbieter ist das Landesmedienzentrum (LMZ). Schulen können damit ihr Netzwerk einrichten und Daten von Schülern und Klassen verwalten. Lehrkräfte können Schülergeräte wie Notebooks und Tablets steuern und überwachen. „Automatische Softwareverteilung, Firewall und Jugendschutzfilter sowie eine gesicherte Dateiablage sind ebenfalls zentrale Elemente der Paedml“, heißt es auf der Lmzwebsite.
Dort tauchte am Mittwoch auch für kurze Zeit ein „Sicherheitshinweis“auf: „Aktuell wird eine Sicherheitslücke in der Virtualisierungsschicht der paedml, vsphere ESXI, ausgenutzt. Wir möchten unsere Kunden ausdrücklich darauf hinweisen, dass aus Sicherheitsgründen auch vsphere ESXI aktuell zu halten ist. Die jetzt auftretenden Ransomware-angriffe erfolgen auf Systeme, für die seit fast zwei Jahren (!) Updates bereitstehen, die aber nicht gepatcht wurden“, hieß es.
Verlinkt wurde zudem auf eine Warnung des Bundesamts für Sicherheit in der Informationstechnik von voriger Woche. Darin ist von einem „weltweit breit gestreuten Angriff “die Rede. Auch hier der Hinweis: Ein Patch zur Schließung der Lücke sei im Februar 2021 veröffentlicht worden. Darauf legt auch der Hersteller Vmware in einem Blogbeitrag Wert.
Doch kurz nach Erscheinen der Warnung auf der Lmz-website war sie wieder offline: aufgrund
laufender Ermittlungen in Karlsruhe, wie ein Lmz-sprecher bestätigt. Ihm ist wichtig: „Es gab und gibt weder früher noch jetzt Sicherheitsprobleme bei der paedml.“Diese bestehe aus Softwarekomponenten etablierter Hersteller, deren Updates das LMZ Schulen zur Verfügung stelle.
„Die It-sicherheit unserer Kundensysteme ist uns sehr wichtig“, betont der Sprecher. „Das betrifft auch It-infrastruktur, deren Wartung und Administration nicht in unsere Zuständigkeit als Anbieter der Paedml fällt.“Dazu zähle etwa auch die „Virtualisierungsschicht“, die das Ziel habe, eine Zusatzebene zwischen Anwendung und Hardware zu schaffen. „Die Betriebsverantwortung dafür liegt beim Schulträger“, stellt der Lmz-sprecher klar.
Man habe mit der Warnung auf die Behebung einer bekannten ITSchwachstelle der Virtualisierungsschicht hingewiesen, damit Schulen und Schulträger informiert sind. Für die Systempflege werde oft die unterrichtsfreie Zeit wie die Faschingsferien genutzt, um Wartungen durch Dienstleister ausführen zu lassen.
In Karlsruhe hält man sich bedeckt. Ihm lägen keine Informationen zu den Themen „Paedml“oder „Vmware“vor, sagt ein Sprecher der Stadt. Die Polizei Karlsruhe erklärt, sie veröffentliche „aus ermittlungstaktischen Gründen zum jetzigen Zeitpunkt keine Informationen zur konkreten Tatbegehung“.
Sollte sich bestätigen, dass eine seit Jahren bekannte Sicherheitslücke, die durch regelmäßige Updates geschlossen werden konnte, als Einfallstor für den Hack genutzt wurde, wäre das Wasser auf die Mühlen jener, die schon lange finden, dass das System der Administration von Schul-it nicht mehr zeitgemäß ist. „Im
Verhandlungen zwischen Land und Kommunen wurden immer wieder vertagt.
Grunde braucht jede Schule einen It-sicherheitsbeauftragten“, sagt der Karlsruher Landtagsabgeordnete Alexander Salomon (Grüne). Dass die immer komplexere und umfangreiche Schul-it, eigentlich Aufgabe kommunaler Schulträger, von Lehrern administriert werde, sei längst nicht mehr zeitgemäß. „Das ist natürlich kein tragfähiges System. Schulische IT gehört in professionelle Hände“, findet Salomon.
Doch Verhandlungen zwischen Land und Kommunen über diese Frage wurden immer wieder vertagt, zuletzt im November. „Wir brauchen endlich einen Fahrplan zur flächendeckenden Gewährleistung professioneller It-administration an Schulen“, fordert daher auch der Spd-schulpolitiker Stefan Fulst-blei. „Natürlich haben wir hochgradig engagierte Lehrkräfte, die aber letzten Endes immer ,Halb-profis‘ bleiben müssen. Dies in Kombination mit einem deutlichen Mehr an Geräten und gesteigerter It-gefahrenlage muss eigentlich zwangsläufig zu entsprechenden Problemen führen.“