Anzeige
Anzeige
SOLINGEN (red) – Nach Weihnachten ist in der Stadtverwaltung Solingen ein Diebstahl von Passwörtern bei Microsoft Office 365 Schul-Accounts bekannt geworden. Der Vorfall betrifft die entsprechenden Microsoft-Accounts von Schülerinnen und Schülern sowie von Lehrerinnen und Lehrern von 25 Solinger Schulen. Die Betroffenen benutzen diese Accounts, um auf Lerninhalte zuzugreifen bzw. solche bereitzustellen (Distanzunterricht).
Interne E-Mail-Kommunikation in den Schulen
Die Accounts sind nicht für die E-Mail-Kommunikation der Schülerinnen und Schüler untereinander, mit den Lehrerinnen und Lehrern oder mit der Schule vorgesehen. Deshalb sei nicht davon auszugehen, dass zusätzliche Daten von Account-Inhabern gestohlen wurden, heißt es aus dem Rathaus. Darüber hinaus würden keinerlei Anhaltspunkte dafür vorliegen, dass andere IT-Systeme der Stadt Solingen betroffen seien.
Am 27. Dezember 2023 stellte ein Mitarbeiter des IT-Dienstleisters der Stadt Solingen im Zuge einer Prüfung ungewöhnliche Zugriffe auf Schul-Accounts fest. In einer unmittelbar erfolgten Detail-Analyse wurde noch am selben Tag ermittelt, dass 413 Accounts von Microsoft als „gefährdet“ eingestuft wurden. Das bedeutet, dass bei diesen Accounts ein von der Norm abweichendes Anmeldeverhalten aufgefallen ist.
Zugriffe aus weit entfernten Ländern
Dies könne auch passieren, wenn Account-Nutzer das Passwort mehrfach falsch eingegeben hätten. Bei 29 Accounts wurden allerdings Zugriffe aus weit entfernten Ländern (z. B. Südkorea, China, Russland etc.) in hoher Frequenz festgestellt. Die technische Analyse ergab weiterhin, dass bei diesen 29 Accounts mit hoher Wahrscheinlichkeit ein Passwort-Diebstahl erfolgte.
Die Stadtverwaltung, die die Schul-Accounts verwaltet, hat daraufhin unverzüglich alle als „gefährdet“ identifizierten 413 Accounts gesperrt. Es sei laut Stadt davon auszugehen, dass durch den Passwort-Diebstahl sowohl Vorname und Name der Nutzer sowie die Schul-E-Mail-Adresse einsehbar waren. Dies bedingt die Struktur der E-Mail-Adressen der Accounts: Vorname (erster Buchstabe), Nachname, @, Name der Schule (Beispiel: m.mustermann@schule-solingen.de). Weitere Informationen, wie beispielsweise identitätsbezogene Daten der Account-Inhaber (z. B. Geburtsdatum), wurden nach aktuellem Stand der Untersuchungen nicht entwendet, da solche Daten für die Nutzung der Accounts nicht notwendig sind.
Stadt Solingen ohne Zugriff auf die Inhalte
Die Stadtverwaltung habe aus „datenschutzrechtlichen Gründen“ keinen Zugriff auf die Inhalte der Accounts und könne deshalb keine Angaben dazu machen, welche Inhalte in den einzelnen Accounts tatsächlich gespeichert waren. Sofern die Nutzerinnen und Nutzer – abweichend von den bestehenden Regelungen für die Verwendung dieser Accounts – freiwillig weitere Informationen in ihren Accounts gespeichert haben, können auch diese Daten einsehbar gewesen sein. Dies gilt auch für Teams-Inhalte und Teams-Chats.
Da die E-Mail-Accounts nicht aktiv für E-Mail-Korrespondenzen verwendet werden sollen, sei davon auszugehen, dass keine persönlichen E-Mails gespeichert waren. Darauf deutet auch eine diesbezüglich erfolgte Analyse der Metadaten hin. Diese habe ergeben, dass der verwendete Speicherplatz sehr gering ist und eine aktive Nutzung der Accounts zur E-Mail-Korrespondenz unwahrscheinlich erscheint. Auch die von Microsoft grundsätzlich bereitgestellte Speichermöglichkeit OneDrive war nicht für eine aktive Verwendung vorgesehen, so dass ebenfalls davon auszugehen ist, dass hier keine Daten vorhanden waren.
Von den betroffenen Accounts SPAM-Mails versenden
Weitere Untersuchungen ergaben, dass die missbräuchlich verwendeten Passwörter vermutlich dazu genutzt wurden, von den betroffenen Accounts SPAM-Mails zu versenden. Zudem ist davon auszugehen, dass das dort hinterlegte Nutzerverzeichnis (Adressen der E-Mail Schul-Accounts) durch die Entwendung der Account-Passworte einsehbar war.
Insgesamt nutzt die Stadt Solingen im Rahmen ihres Digitalisierungs-Projekts für Schülerinnen und Schüler bzw. Lehrerinnen und Lehrer in Solingen rund 22.000 Microsoft-Lizenzen für Schul-Accounts, die an den Schulen unterschiedlich stark für die Vermittlung von Lerninhalten (Distanzunterricht) genutzt werden.
Stadt Solingen erstattet Anzeige gegen Unbekannt
Noch vor dem Jahreswechsel hat die Stadt Solingen bei der Polizei Anzeige gegen Unbekannt erstattet. Zudem hat sie unmittelbar die zuständige Datenschutzaufsichtsbehörde des Landes Nordrhein-Westfalen informiert. Die Stadt Solingen informierte die Inhaber der 413 „gefährdeten“ Accounts (Schülerinnen und Schüler bzw. ihre Eltern) über den Passwort-Diebstahl. Es ist zudem eine Hotline für etwaige Rückfragen zu dem jüngst bekannt gewordenen Passwort-Diebstahl bei Schul-Accounts eingerichtet.
Die Stadt Solingen weist darauf hin, dass insbesondere Schülerinnen und Schüler häufig zu einfache Passwortkombinationen für ihre Accounts in der Schule, aber auch für private Nutzungen beispielsweise in den sozialen Medien verwenden. Solche einfachen Passwort-Kombinationen können von spezialisierten Datendieben vergleichsweise leicht erbeutet werden. Deshalb rät die Stadtverwaltung dazu, dass grundsätzlich für jeden einzelnen Account separate Passworte mit individuellen Kombinationen aus Ziffern, Buchstaben und Sonderzeichen unter Verwendung von Klein- und Großschreibung eingesetzt werden.
