Cyberangriff auf Berliner Schule – Das Risiko mit den Daten unserer Kinder

Man kann sich vor Cyberangriffen schützen, garantiert immunisieren kann man sich jedoch vor einem solchen Angriff nicht. Das ist für alle unsere persönlichen Daten von Belang, vor allem wenn wieder einmal ein großer Anbieter verspricht seine Services wären absolut sicher. Dabei ist quasi schon jeder große Anbieter in der Vergangenheit durch Vorfälle mit entwendeten Daten aufgefallen (Beispiele: Amazon, Meta, Microsoft, Apple). Von besonderer Brisanz sind Cyberangriffe wenn es um die Daten von Kindern geht.

Vor wenigen Tagen wurde der Träger des Hortservices einer oder mehrerer Berliner Schulen, Opfer eines Cyberangriffs, speziell eines Ransomware-Angriffs. Die Eltern wurden darüber informiert, dass die Kriminellen die auf dem internen Fileserver gespeicherten Daten kopiert und somit entwendet haben – Daten, die insbesondere auch über Kinder gespeichert sind.

Angriffe und Datendiebstähle dieser Art sind leider die Kehrseite der bequemen Digitalisierung. Statt Offline-Listen und Bücher werden Namen, Adressen und andere sensible Daten nun auf Servern mit Internetzugang gespeichert. Der Bequemlichkeit halber verwenden Hortmitarbeitende mittlerweile auch Apps externer Anbieter, um die Bring- und Abholzeiten der Kinder zu dokumentieren, inklusive der abholberechtigten Personen, Adressen, Telefonnummern der Eltern usw. Sind die Daten dort wirklich sicher? Nein, natürlich nicht – wie eingangs erwähnt sind digitale Daten nie garantiert sicher.

Fairerweise muss gesagt werden, dass der aktuelle Angriff nicht einer dieser Apps galt sondern eben der „internen IT-Infrastruktur“. Dennoch ist es zumindest frag- und diskusionswürdig, dass kinderbetreuende Einrichtungen die sensiblen Daten der Kinder so speichern, dass diese über das Internet zugänglich sind, auch wenn Services angeblich datenschutzfreundlich sind, Server in Deutschland stehen und die Betreiber vermeintliche Sicherheit garantieren.

Gut ist, dass die Bildungseinrichtung die Eltern informiert hat. Schuldig geblieben ist sie aber einige wichtige Informationen: Welche Daten genau wurden eigentlich entwendet? Ist die „interne IT-Infrastruktur“ über das Internet erreichbar gewesen? Oder sind die Kriminellen direkt in eine der Trägereinrichtungen eingedrungen und haben die Daten vor Ort erbeutet? Wie viele weitere Schulen mit dem selben Hort-Träger sind betroffen? Liegen die Daten wenigstens verschlüsselt auf dem/den Server(n)?

So oder so sollten Bildungseinrichtungen besonders ausführlich darüber nachdenken und beraten ob und in welchem Umfang sensible Daten von Kindern online gespeichert und somit auch zugänglich sein sollen.