413 Accounts gesperrt – Andere IT-Systeme wohl nicht betroffen
Solingen/ Nach Weihnachten 2023 ist in der Stadtverwaltung Solingen ein Diebstahl von Passwörtern bei Microsoft Office 365 Schul-Accounts bekannt geworden. Der Vorfall betrifft die entsprechenden Microsoft-Accounts von Schülern und Lehrern von 25 Solinger Schulen. Die Betroffenen benutzen diese Accounts, um auf Lerninhalte zuzugreifen bzw. solche bereitzustellen (Distanzunterricht).
Die Accounts sind nicht für die E-Mail-Kommunikation der Schüler untereinander oder mit den Lehrern und der Schule vorgesehen. Deshalb ist nicht davon auszugehen, dass zusätzliche Daten von Account-Inhabern gestohlen wurden. Darüber hinaus liegen keinerlei Anhaltspunkte dafür vor, dass andere IT-Systeme der Stadt Solingen betroffen sind.
413 Accounts als „gefährdet“ eingestuft und unverzüglich gesperrt
Am Mittwoch, 27. Dezember 2023, stellte ein Mitarbeiter des IT-Dienstleisters der Stadt Solingen im Zuge einer Prüfung ungewöhnliche Zugriffe auf Schul-Accounts fest. In einer unmittelbar erfolgten Detail-Analyse wurde noch am selben Tag ermittelt, dass 413 Accounts von Microsoft als „gefährdet“ eingestuft wurden. Das bedeutet, dass bei diesen Accounts ein von der Norm abweichendes Anmeldeverhalten aufgefallen ist.
Dies kann auch passieren, wenn Nutzer das Passwort mehrfach falsch eingegeben haben. Bei 29 Accounts wurden allerdings Zugriffe aus weit entfernten Ländern (z. B. Südkorea, China, Russland etc.) in hoher Frequenz festgestellt. Die technische Analyse ergab weiterhin, dass bei diesen 29 Accounts mit hoher Wahrscheinlichkeit ein Passwort-Diebstahl erfolgte.
Die Stadtverwaltung Solingen, die die Schul-Accounts verwaltet, hat daraufhin unverzüglich alle als „gefährdet“ identifizierten 413 Accounts gesperrt.
Passworte entwendet, Nutzerdaten und Nutzerverzeichnis einsehbar
Es ist davon auszugehen, dass durch den Passwort-Diebstahl sowohl Vorname und Name der Nutzer sowie die Schul-E-Mail-Adresse einsehbar waren. Dies bedingt die Struktur der E-Mail-Adressen der Accounts: Vorname (erster Buchstabe), Nachname, @, Name der Schule (Beispiel: m.mustermann@schule-solingen.de). Weitere Informationen, wie beispielsweise identitätsbezogene Daten der Account-Inhaber (z. B. Geburtsdatum), wurden nach aktuellem Stand der Untersuchungen nicht entwendet, da solche Daten für die Nutzung der Accounts nicht notwendig sind.
Die Stadtverwaltung Solingen hat aus datenschutzrechtlichen Gründen keinen Zugriff auf die Inhalte der Accounts und kann deshalb keine Angaben dazu machen, welche Inhalte in den einzelnen Accounts tatsächlich gespeichert waren. Sofern die Nutzerinnen und Nutzer – abweichend von den bestehenden Regelungen für die Verwendung dieser Accounts – freiwillig weitere Informationen in ihren Accounts gespeichert haben, können auch diese Daten einsehbar gewesen sein. Dies gilt auch für Teams-Inhalte und Teams-Chats.
Da die E-Mail-Accounts nicht aktiv für E-Mail-Korrespondenzen verwendet werden sollen, ist davon auszugehen, dass keine persönlichen E-Mails gespeichert waren. Darauf deutet auch eine diesbezüglich erfolgte Analyse der Metadaten hin. Diese hat ergeben, dass der verwendete Speicherplatz sehr gering ist und eine aktive Nutzung der Accounts zur E-Mail-Korrespondenz unwahrscheinlich erscheint. Auch die von Microsoft grundsätzlich bereitgestellte Speichermöglichkeit OneDrive war nicht für eine aktive Verwendung vorgesehen, sodass ebenfalls davon auszugehen ist, dass hier keine Daten vorhanden waren.
Weitere Untersuchungen ergaben, dass die missbräuchlich verwendeten Passwörter vermutlich dazu genutzt wurden, von den betroffenen Accounts SPAM-Mails zu versenden. Zudem ist davon auszugehen, dass das dort hinterlegte Nutzerverzeichnis (Adressen der E-Mail Schul-Accounts) durch die Entwendung der Account-Passworte einsehbar war.
Insgesamt nutzt die Stadt Solingen im Rahmen ihres Digitalisierungs-Projekts für Schüler und Lehrer in Solingen rund 22.000 Microsoft-Lizenzen für Schul-Accounts, die an den Schulen unterschiedlich stark für die Vermittlung von Lerninhalten (Distanzunterricht) genutzt werden.
Polizei, Behörden, Schüler und Lehrer sind informiert
Noch vor dem Jahreswechsel hat die Stadt Solingen bei der zuständigen Polizeidienststelle Anzeige gegen Unbekannt erstattet. Zudem hat sie unmittelbar die zuständige Datenschutzaufsichtsbehörde des Landes Nordrhein-Westfalen informiert. Die Stadt Solingen informierte die Inhaber der 413 „gefährdeten“ Accounts (Schülerinnen und Schüler bzw. ihre Eltern) über den Passwort-Diebstahl. Es ist zudem eine Hotline für etwaige Rückfragen zu dem jüngst bekannt gewordenen Passwort-Diebstahl bei Schul-Accounts eingerichtet.
Passwortdiebstahl häufig zu leicht
Die Stadt Solingen weist darauf hin, dass insbesondere Schülerinnen und Schüler häufig zu einfache Passwortkombinationen für ihre Accounts in der Schule, aber auch für private Nutzungen beispielsweise in den sozialen Medien verwenden. Solche einfachen Passwort-Kombinationen können von spezialisierten Datendieben vergleichsweise leicht erbeutet werden. Deshalb rät die Stadtverwaltung Solingen dazu, dass grundsätzlich für jeden einzelnen Account separate Passworte mit individuellen Kombinationen aus Ziffern, Buchstaben und Sonderzeichen unter Verwendung von Klein- und Großschreibung eingesetzt werden.