Das Erziehungsdepartement des Kantons Basel-Stadt wurde Anfang des Jahres Ziel eines Hackerangriffs, wie die Behörde vor Kurzem bekannt gab. Eine Gruppe von Cyberkriminellen hat unzählige Dateien gestohlen und im Darknet veröffentlicht, nachdem das Departement nicht auf Geldforderungen einging. Nun hat es die gestohlenen und publizierten Daten analysiert und die direkt betroffenen Personen informiert, wie es in der jüngsten Pressemitteilung heißt.
So viele Personen sind direkt betroffen
„761 Personen sind nach aktuellem Stand des Wissens direkt vom Diebstahl von persönlichen Dateien und der Publikation im Darknet betroffen“, schreibt Gaudenz Wacker, Sprecher des kantonalen Erziehungsdepartements. Daten von Lehr- und Fachpersonen, Schülern und Verwaltungsmitarbeitern seien in den dunklen Kanälen des Internets aufgetaucht. „Von weiteren 372 Personen wurden lediglich unpersönliche Standarddateien publiziert.“
Diese Personengruppen hat‘s erwischt
Betroffen ist das sogenannte Netzwerk eduBS, bei dem laut eigenen Angaben des Departements über 30.000 Nutzer registriert sind. Demnach sind von rund drei Prozent der Registrierten Daten gestohlen und veröffentlicht worden. Unter den Betroffenen sind 224 Schüler und Lehrlinge, 195 Lehr- und Fachpersonen sowie 342 Departement-Mitarbeiter der Kantonsverwaltung.
Nicht nur persönliche Daten im Netz
Insgesamt hätten die Cyberkriminellen 1133 Accounts des Netzwerks geklaut und ins Darknet gestellt. Von 372 Nutzern seien in den Verzeichnissen keine persönlichen Daten identifiziert worden – sondern ausschließlich Standarddateien, die für den Betrieb der Computer nötig sind. „Solche Dateien enthalten keine sensiblen persönlichen Informationen“, schreibt Wacker.
Dies hat die IT-Abteilung analysiert
Die Abteilung Digitalisierung und Informatik (DIG-IT) des Erziehungsdepartements versichert, sie habe nur Datenverzeichnisse analysiert. Diese würden Aufschluss über die Besitzer der Daten und über Dateinamen geben, nicht über den Inhalt der einzelnen Dateien. Wacker: „Inhaltlich wurden Dateien aus Datenschutzgründen nicht geprüft.“
Angaben zu Drittpersonen können dabei sein
Die Behörde informiert darüber, dass die Dateien Angaben zu Drittpersonen enthalten können. Sie seien indirekt Betroffene. Zum Beispiel, wenn eine Adressliste einer Schulklasse im Darknet publiziert worden ist: In diesem Fall sei die direkt betroffene Lehrperson identifiziert, welche die Adressliste gespeichert hat. Die Adressliste selbst werde inhaltlich nicht überprüft. Wacker schreibt dazu: „In diesem Beispiel können also die Namen der indirekt betroffenen Schüler auf der Adressliste von der DIG-IT nicht identifiziert werden.“
Das unternimmt das Erziehungsdepartement
Das Departement hat bereits Maßnahmen getroffen. Laut Auskunft hat die IT-Abteilung die ihr bekannten direkt Betroffenen persönlich benachrichtigt. Sie hätten eine Liste mit den Dateien bekommen, die im Darknet veröffentlicht sind. „Wenn diese Dateien von den Betroffenen zwischenzeitlich nicht selbst gelöscht worden sind, befinden sie sich immer noch auf dem Serverbereich dieser Personen.“ In einem ersten Schritt könnten direkt betroffenen Personen anhand der Liste selbst überprüfen, welche Dateien im Darknet stehen.
Die Behörde will auch indirekt Betroffene benachrichtigen. Aber die könnten nur mit Hilfe der direkt Geschädigten identifiziert werden. Für das genannte Beispiel würde das heißen: Nur die Lehrperson kann wissen, welche Schüler auf der Adressliste stehen, die im Darknet aufgetaucht sind. Die DIG-IT habe die direkt Betroffenen persönlich kontaktiert und sie um ihre Unterstützung bei der Identifizierung von indirekt betroffenen Personen gebeten.
Sie haben auch verschlüsselte Passwörter gestohlen
„Die Analyse hat gezeigt, dass beim Datendiebstahl auch verschlüsselte Passwörter gestohlen wurden“, schreibt Wacker weiter. Die Betreiber des Netzwerks hätten alle Nutzer schon im März aufgefordert, alle Passwörter zu ändern, die sie in ihrem Browser gespeichert haben. Ebenso die Passwörter von anderen Accounts, die gleich lauten wie das Passwort, das sie für ihren eduBS-Account nutzen.
