Hacker haben im Darknet mehrere Datenpakete des Basler Erziehungsdepartements veröffentlicht. Der Kanton hat noch am späten Abend über den aktuellen Stand informiert.

Im Januar ist es einer Gruppe gelungen, Daten des Erziehungsdepartements zu entwenden. Daraufhin sei eine entsprechende Geldforderung der Erpresser eingetroffen, auf die das Erziehungsdepartement nicht eingegangen ist, wie dieses am Mittwoch in einer Mitteilung schreibt.

Nun habe die Gruppierung mehrere Datenpakete im Gesamtumfang von mutmasslich 1,2 Terabyte im Darknet publiziert. Die Daten wurden von der Ransomware-Bande Bianlian hochgeladen. Die Bande hatte bereits letzten Oktober Datenpakete des Schweizer Chocolatier Läderach ins Darknet gestellt. Der Kanton hat bei der Staatsanwaltschaft eine Anzeige gegen Unbekannt erstattet.

Noch am späten Mittwochnachmittag informierte das Erziehungsdepartement an einer spontan einberufenen Medienkonferenz detaillierter über die veröffentlichten Datenpakete. Der Austausch mit externen und internen Experten laufe. Um welche Art von Daten es sich genau handelt, habe man bisher aber noch nicht herausfinden können, wie Regierungsrat und Vorsteher des Erziehungsdepartements Conradin Cramer sagte. Betroffen sei das eduBS-Netz.

Sensible Daten betroffen

Der Umfang der Daten sei auf jeden Fall sehr gross. Die ersten Erkenntnisse seien leider nicht erfreulich, unter den Daten seien auch sensible Daten von Lehrpersonen und Schüler:innen, die persönlich seien und somit nicht an die Öffentlichkeit gelangen sollten. «Wir müssen davon ausgehen, dass es sich auch um Daten handelt, die persönliche Informationen beinhalten», so Cramer. Das könnten Noten sein, Bewertungen oder aber auch Abklärungsberichte über Schüler:innen. Ein Grossteil der Daten sei pädagogischer Art, betroffen sein könnten aber auch Dateien, die beispielsweise Lehrpersonen im betroffenen Bereich abgelegt haben.

«Wir bedauern ausserordentlich, dass das passiert ist. Es ist für alle Seiten sehr unangenehm, Opfer eines solchen Angriffs zu werden.» Cramer könne versichern, dass Datensicherheit schon seit langer Zeit ein wichtiges Thema sei im Departement und nicht erst seit dem jüngsten Angriff.

Neue Infrastruktur geht jetzt schneller in Betrieb

Es gelte jetzt, Transparenz reinzubringen, auch, weil das öffentliche Interesse entsprechend hoch sei. Thomas Wenk, der Leiter der Digitalisierung und Informatik am Departement hat zuvor bei der Zürcher Polizei gearbeitet. Noch am Tag der Anzeige sei eine externe Firma hinzugezogen worden, um den Cyber-Angriff zu analysieren, so Wenk. «Seit 2022 sind wir daran, neue zentrale Infrastrukturen aufzubauen. Von diesem Angriff wurden wir überrollt. Entsprechend nehmen wir die neuen Infrastrukturen jetzt in Betrieb», so Wenk.

Ein Vorfall dieser Art sei eine Verkettung von menschlichen und technischen Fehlern, die auch departementsintern vorhanden gewesen seien. Das IT-Team sei jetzt daran, die Daten herunterzuladen und zu sichten, um eruieren zu können, welche Personen davon betroffen seien.

Klick auf einen Link wird wohl der Auslöser gewesen sein

Auf die Frage, ob man den Angriff hätte bemerken können, sagt Wenk, dass es bei einer solchen Datenmenge nicht einfach sei. Man hole jetzt aber Offerten ein für ein entsprechendes Security-Center, welches Anomalien im System schneller aufspüren sollte. Wenk vermutet, dass der Angriff über Mails passiert sei, die direkt an Schüler:innen oder Angestellte versandt wurden. Irgendjemand wird auf einen Link geklickt haben, der den Angriff ausgelöst habe. Es gehe aber in keinster Weise darum, einen Schuldigen zu benennen, betont Cramer.

Dass es sich um 1,2 Terabyte an Daten handelt, könne man vonseiten des Erziehungsdepartements nicht bestätigen. Das sei die Zahl, die von den Erpressern genannt worden sei. Die Gruppe Bianlian würde nicht mit Falschinformationen angeben, so Wenk. Die Gruppe veröffentliche Daten immer schrittweise. Entsprechend sei es sehr untypisch für die Gruppe, Daten von 0 auf 100 zu veröffentlichen, so wie es im vorliegenden Fall passiert sei.

Betroffene werden direkt kontaktiert

Kommerziell interessant seien die veröffentlichten Daten nicht, so Cramer, aber hochsensibel. Er vermutet, dass es beim Angriff darum gehe, eine Reputation zu verteidigen und anderen Unternehmen zu zeigen, dass die Gruppe nicht einmal vor Kindern zurückschrecke.

Die Lösegeldsumme nennt Cramer nicht, auch auf Anraten der Staatsanwaltschaft. Er habe Whatsapp-Anrufe aus den USA erhalten und sei gefragt worden, ob sein «Chairman» wisse, dass seinem Departement Daten geklaut worden seien. Einerseits habe man sich also mit dem Ziel des Cyber-Angriffes auseinandergesetzt, andererseits seien den Betrügern aber die internen Strukturen unbekannt, so Cramer. «Es ist ziemlich diffus.»

Sobald klar sei, wer genau betroffen ist, werde man die Personen direkt kontaktieren und ihnen die Möglichkeit geben, gemeinsam zu schauen, um welche Daten es sich genau handle. Auch die Öffentlichkeit werde informiert, sobald man mehr wisse.

Auf das Erziehungsdepartement kommen entsprechend intensive Wochen zu.