Jetzt greifen Hacker schon Schulen in Karlsruhe an. Sogar ein Lösegeld wird gefordert. Wir stellen uns eine Frage: Geht’s eigentlich noch??  Ernschtle-Redakteur Karim Schmiedinger hat Hintergründe recherchiert und ein Interview mit dem Karlsruher Ableger des Chaos Computer Club geführt. Eines scheint klar: Es kann länger noch eine Weile dauern bis wir wieder normalen Unterricht haben…

Es ist Montagmorgen und unser Klassenlehrer Herr Goerke zeigt uns gerade übers Whiteboard eine Keynote Präsentation über die Gesellschaft im deutschen Kaiserreich, gleich sollen wir Erklärvideos zum Thema erstellen. Da kommt plötzlich eine Durchsage von Herrn König-Kurowsi, unserem Konrektor, dass Karlsruhe von einem Hackerangriff betroffen ist und alle Medien, die in der Schule benutzt werden, sofort abgeschaltet werden sollen. Neben der Ernst Reuter Schule hat es auch die Adam-Remmele-Schule getroffen, dazu die Hardtschule, die Schule am Turmberg, die Grundschule Wolfartsweier, das Markgrafen-Gymnasium, die Realschule Neureut, die Erich-Kästner-Schule sowie die Realschule am Rennbuckel. Die Durchsage hat uns schon ein bisschen geschockt und auch ein bisschen überrascht. Ich dachte mir zuerst was wollen die eigentlich damit erreichen, unsere Schule zu hacken bzw. die Server. Was wollen die mit der Englisch-Note von Erik oder der Adresse von Frau Artner? Fürs Erste wird es den Unterricht an den Schulen massiv einschränken, denn es dürfen vorerst keine Medien mehr benutzt werden. Keine Arbeit mit den iPads, keine Erklärvideo, kein Internet, nada. Man könnte auch schon fast sagen wir wären zurück in der Steinzeit…

Die Stadt Karlsruhe meint, die Täter haben Schadsoftware eingeschleust und Systemdaten auf den Servern verschlüsselt. Sie fordern nun ein Lösegeld von rund 2 Bitcoin je Schule. Im Tausch bekommt die Stadt die verschlüsselten Daten wieder. Nach aktuellem Währungskurs sind das um die 41.000 Euro – pro Schule! Bisher sind laut Stadtverwaltung keine personenbezogene Daten abgegriffen worden. Die Untersuchung wurde von IT-Spezialisten der Stadtverwaltung und Cybersicherheitsexperten aufgenommen. Die Server der betroffen Schulen wurden heruntergefahren sowie die Server von 70 weiteren Schulen. Diese sollen jetzt laut Stadt ausgiebig überprüft werden. Die Schulen können in dieser Zeit die entsprechenden Systeme nicht nutzen und sind nicht mehr länger online erreichbar. Nach Abschluss und Freigabe sollen die Server Zug um Zug wieder ans Netz gehen aber das kann dauern… Die Stadt Karlsruhe hat eine Strafanzeige gegen Unbekannt erstattet und den Landesdatenschutzbeauftragten über den Vorfall informiert. 

Aber wie geht es jetzt konkret weiter? Werden wir beispielsweise nach den Ferien wieder mit den iPads arbeiten können? Unser Konrektor meinte, es wird wahrscheinlich einige Wochen dauern bis unsere Schule wieder ans Netz geht. So wie es aussieht machen wir nach den Ferien erstmal „old school“ weiter.

Wir wollten mehr über den Hacker-Angriff auf die Karlsruher Schulen erfahren und haben den bekannten Chaos Computer Club (CCC) kontaktiert, ein Kollektiv von Computerfreaks und Hackern. Mit /madonius haben wir dazu ein Interview geführt. Er engagiert sich im bei Entropia e.V., dem Karlsruher Ableger des Chaos Computer Clubs.

Was macht der Chaos Computer Club bzw. der Verein Entropia e.V. eigentlich so genau?

Der Chaos Computer Club ist die größte europäische Hackergemeinschaft und vermittelt seit nun mehr als 30 Jahren im Spannungsfeld zwischen technischen und kulturellen Entwicklungen. Wir, der Entropia, sind Karlsruher Erfa (Erfahrungsaustausch-Kreis), also eine lokale Gruppe des CCC. Mit unserem Hackerspace bieten wir einen Raum, Technik zu erforschen und sich mit Gleichgesinnten auszutauschen. Außerdem veranstalten wir jedes Jahr die Gulaschprogrammiernacht im ZKM und der HfG, eine viertägige Veranstaltung mit Vorträgen und Workshops und mit zuletzt über 2000 Teilnehmenden.

Sind/Waren Sie selbst mal Hacker?

Ja, wir sind alle Hacker, aus Überzeugung. Allerdings verwenden wir den Begriff aus einem anderen Verständnis heraus, als es beispielsweise in den Medien oft der Fall ist – wie auch im Fall mit den gehackten Karlsruher Schulen. Für uns bedeutet Hacken den kreativen Umgang mit Technik, nicht ein hinterlistiges Eindringen in fremde Systeme. Trotzdem kann Hacken das Entdecken, Bekanntmachen und manchmal auch das Nutzen von Sicherheitslücken bedeuten. Im Gegensatz zu Menschen, die versuchen, davon wirtschaftlich zu profitieren, gehen wir verantwortungsbewusst damit um. Wir betrachten Sicherheitslücken weder als Einkommensquelle noch als Machtspielzeug.

Am Wochenende wurden mehrere Karlsruher Schulen Opfer eines Hackerangriffs. Wie überraschend war für Euch dieser Angriff?

Mitterweile hört man regelmäßig von Fällen, in denen Schwachstellen für Angriffe auf Unternehmen, Behörden und kritische Infrastruktur genutzt werden und Opfer mit Lösegeldforderungen zu erpressen. Somit überraschen uns diese Angriffe, wenn auch auf Schulen, nicht. Das bedeutet allerdings nicht, dass man sich auf solche Fälle nicht vorbereiten kann und sollte.

Ist so ein Angriff gefährlich? Müssen wir uns Sorgen um unsere Daten machen?

So ein Angriff ist definitiv nicht zu unterschätzen, schließlich haben sich fremde Personen Zugriff auf Computersysteme verschafft, welche schulische Daten verarbeiten und speichern. Auch die Auswirkungen des Angriffes birgen Unsicherheiten, da gerade Schulen oftmals unvorbereitet und nicht selten ihren Schulalltag völlig umstrukturieren müssen. Es sind aktuell wenig Details zum Vorgehen bekannt, daher wäre im konkreten Fall eine Aussage über das Risiko für die Daten reine Spekulation. Die Vergangenheit hat zwar gezeigt, dass in vielen Fällen lediglich Erpressung im Vordergrund steht und seltener die Daten selber interessant sind. Es gibt jedoch genauso Fälle von Angriffen auf große Unternehmen, von denen vertrauliche Daten später im Internet aufgetaucht sind.

Ist es schwierig einen solchen Hackerangriff abzuwehren?

Ja. Gerade in vernetzten Computersystemen mit vielen Benutzenden, wie sie in Schulen und auch in Unternehmen existieren, gibt es unzählige Möglichkeiten, einzudringen. Aber schon ein paar Maßnahmen können dabei helfen, das Risiko zu minimieren:
– Anwendungen aktuell halten, insbesondere das Betriebssystem.
– Darauf achten, Dateien – insbesondere Anhänge von E-Mails – nur zu öffnen, wenn sie von einer vertrauenswürdigen Quelle stammen und man auch eine E-Mail mit Anhang erwartet – Passwörter immer nur für einen Zweck bzw. eine Seite verwenden. Hier helfen Passwortmanager, die gute Passwörter generieren und speichern können. Angreifende brechen nämlich oftmals über genau diese Wege ein: Veraltete Anwendungen und Systeme mit bekannten Sicherheitslücken, schlechte bzw. bekannte Passwörter sowie über Schadsoftware, die als harmloses Dokument (Rechnungen o.ä.) getarnt ist. Nur in wenigen Fällen nutzen Angreifende auch vom Hersteller und der Öffentlichkeit unentdeckte Sicherheitslücken, sogenannte Zero-Day-Exploits.

Angreifende nisten sich über die oben genannten Wege auf den Systemen ein, schauen sich um und fangen schließlich an alle Daten and denen sie rankommen zu verschlüsseln. An anderen Orten gespeicherte Backups mit einer anderen Zugriffsverwaltung würde die Krisensituation für die Betroffenen zweifelsohne entschärfen. Solche Ransomware, so wird Software genannt die Menschen mit der Geiselnahmen der eigenen Daten erpresst, hat sich in den vergangenen Jahren in dem Sinne verändert, dass sie auch Daten herunterladen und die Gruppen damit drohen, dass diese veröffentlicht werden, sollten die Erpressten nicht auf die Lösegeldforderung eingehen.

Was glauben Sie warum jemand so etwas tut?

In den allermeisten Fällen ist Profit das Ziel. Die Angreifenden möchten  möglichst viel Geld innerhalb kurzer Zeit einnehmen.

Warum erfolgt die Lösegeldforderung in Bitcoin und warum ist dieser Betrag ungerade?

Bitcoin ist eine sogenannte Cryptowährung. Mit Bitcoin ist es möglich, Geld am konventionellen Finanzsystem vorbei zu transferieren. Auf diesem Weg können die kriminellen Gruppen also Geld empfangen, ohne dass Strafbehörden die konkreten Personen direkt identifizieren oder die Transaktionen unterbinden können. Mit der Zeit sind Cryptowährungen immer mehr zu Spekulationsobjekten geworden, was dazu führt, dass der Wert einer Cryptowährung starken Schwankungen unterliegt. Das bedeutet konkret auch, dass eine Lösegeldforderung von beispielsweise 2,3 Bitcoin, heute 46.553,15€ sind, gestern aber z.B. 47.881,40€ waren.

Glauben Sie, dass es eine Chance gibt die Hacker zu fassen/finden?

Ich möchte mir erlauben das Wort Hacker an dieser Stelle mit Kriminellen zu ersetzen. Es gibt eine Chance, diese ist aber sehr gering. Meist handelt es sich um kriminelle Banden, die in ihren Heimatländern nicht verfolgt oder teilweise sogar von den Regierungen gedeckt werden. Unter solchen Umständen ist es häufig so, dass diese nicht zwangsweise zur Rechenschaft gezogen werden, selbst wenn sie identifiziert werden.

Ganz wichtig, unsere letzte Frage: Wie lange wird des dauern bis alles wieder normal läuft an unserer Schule?

Die Antwort auf diese Frage können, wenn überhaupt, nur die Expertinnen beantworten, die sich mit diesem konkretem Fall beschäftigen.

Bericht und Interview: Karim Schmiedinger