In München sorgt ein möglicher Datenabfluss im Umfeld der städtischen Schul-IT für Aufsehen. Nach Medienberichten sollen Datensätze von mehr als 120.000 Schülern im Darknet aufgetaucht sein. Daneben könnten auch Lehrkräfte, Beschäftigte aus dem Bildungsbereich und interne Unterlagen betroffen sein. Noch ist vieles ungeklärt. Fest steht aber: Sollte sich der gemeldete Umfang bestätigen, wäre der Vorgang weit mehr als eine gewöhnliche IT-Panne. Bei Schul-IT geht es nicht nur um Benutzerkonten oder technische Verwaltungsdaten. In solchen Systemen können Namen, schulische Zuordnungen, Kontaktdaten und weitere personenbezogene Angaben zusammenlaufen. Bei Minderjährigen wiegt ein möglicher Abfluss solcher Daten besonders schwer.
Ermittlungen laufen bereits
Inzwischen ermitteln Polizei und Staatsanwaltschaft. Eine Cybercrime-Einheit der Münchner Polizei befasst sich mit dem Fall, außerdem ist die Generalstaatsanwaltschaft Bamberg eingeschaltet. Geprüft werden unter anderem Datenhehlerei, ausgespähte Daten und mögliche Datenschutzverstöße. Nach den bisherigen Berichten wird auch untersucht, ob der mögliche Datenabfluss mit früheren internen Vorgängen zusammenhängt. Wer für den Vorfall verantwortlich ist, steht derzeit nicht fest. Deshalb gilt ausdrücklich die Unschuldsvermutung.
Datenschutzbehörde prüft den Fall
Auch der Bayerische Landesbeauftragte für den Datenschutz ist mit dem Vorgang befasst. Für die weitere Bewertung wird entscheidend sein, welche Daten tatsächlich betroffen sind, wie sie in Umlauf geraten konnten und ob für Betroffene ein hohes Risiko besteht.
Davon hängt auch ab, ob Schüler, Eltern, Lehrkräfte oder Beschäftigte direkt informiert werden müssen. Gerade dieser Punkt dürfte in den kommenden Tagen und Wochen wichtig werden. Wer möglicherweise betroffen ist, braucht am Ende klare Antworten: Welche Daten sind im Umlauf, seit wann ist das bekannt und welche Schutzmaßnahmen wurden ergriffen?
Stadt München unter Druck
Für München ist der Fall politisch heikel. Die Schul-IT betrifft eine große Zahl von Einrichtungen, Schülern, Lehrkräften und Verwaltungsstellen. Wenn Daten in dieser Größenordnung betroffen sein sollten, reicht ein technischer Hinweis auf laufende Prüfungen kaum aus. Dann geht es auch um Kontrolle, Zuständigkeiten und die Frage, warum mögliche Risiken nicht früher erkannt oder offen kommuniziert wurden.
Noch ist offen, auf welchem Weg die Daten ins Darknet gelangt sein sollen. Ebenso unklar ist, ob technische Fehler, interne Zugriffe oder organisatorische Versäumnisse eine Rolle gespielt haben. Genau diese Punkte müssen nun die Ermittlungen und die datenschutzrechtliche Prüfung klären.
Sensible Daten brauchen besondere Kontrolle
Der Fall zeigt erneut, wie empfindlich große Datenbestände im Bildungsbereich sind. Schulen, Verwaltung und externe IT-Strukturen sind heute eng miteinander verbunden. Dadurch entstehen zentrale Systeme, in denen viele Informationen zusammenlaufen. Das kann Abläufe erleichtern, erhöht aber auch den Schaden, wenn Zugriffsbeschränkungen, Protokollierung oder Meldewege nicht sauber funktionieren.
Für mögliche Betroffene zählt am Ende weniger die interne Zuständigkeit als die konkrete Auskunft. Solange nicht klar ist, welche Daten betroffen sind und wer sie inzwischen besitzt, bleibt der Vorgang ein ernstes Risiko. Bei Daten von Minderjährigen darf die Aufarbeitung deshalb nicht im Zuständigkeitsnebel hängen bleiben.
Hm, worin ist jetzt der Unterschied in den Daten, ob diese von Schulservern kopiert werden, oder ob die Betroffenen sich damit auf TikTok/Instagram präsentieren? Jaja, auf letzterem machen sie sich selbst/freiwillig lächerlich.
Wenn Söder & Co. mal daraus nicht einen Fall machen, bei MS bleiben zu müssen.
Böse Zungen würden jetzt in den Raum stellen, dass Microsoft selbst die Ursache des Problem sein könnte. Aber man wird sehen, wohin die Ermittlungen führen.
Na da hätte sich Frau Dornheim mehr für IT-Sicherheit als für ‚gendergerechte‘ Sprache in der IT-Infrastruktur einsetzten sollen:
https://www.garten-landschaft.de/millionen-gendergerechte-sprache-muenchen/
Whataboutism in Reinkultur
Die IT-Sicherheit an Schulen und generell öffentlichen Einrichtungen ist in den meisten Fällen gelinde gesagt eine Katastrophe, die auf Inkompetenz der Verantwortlichen zurückzuführen ist. Ob nun technisch oder nicht, sei dahingestellt, denn es ändert nichts an der Tatsache. Wenn ich mir dann anschaue, was sich Lehrer täglich quasi gefallen lassen müssen, ist es kein Wunder, dass jeder halbwegs brauchbare ITler irgendwas anderes macht, als Lehrer zu werden. Selbst unter der Annahme, dass Fachwissen, Motivation und Engagement vorhanden sind, macht einem spätestens dann der Lehrplan einen Strich durch die Rechnung.
Microsoft und ihr Windows sehe ich hier nicht als Problem, denn die Leute sind mit einem Linux oder macOS ebenso überfordert. Tja, dann bleibt das eben alles auch weiterhin Neuland.
Solange Lehrer als Hobby, ohne Fachkenntnisse, Schul-IT verwalten, ist eben alles löchrig. Ich bin mir im Klaren, da gibt es keine Sicherheitskonzepte.
Öffentliche Schulen können/wollen nicht extra für kompetente Dienstleister zahlen.
Im vorliegenden Fall ist es tatsächlich so, dass es sich um einen Dienstleister handelt, der eine 100%tige Tochter der Stadt München ist. Es ist also nicht so, dass die Lehrkräfte die Schulnetze hier selbst verwalten.
Ach so, dann sind die Daten beim Dienstleister abgeflossen und nicht im Schulnetz – meine Fehlinterpretation.