«Der Ursprung des Darknets ist nicht kriminell»
Für jede einzelne betroffene Person war es ein Alptraum: Im Mai 2023 haben Cyberkriminelle Daten von 1'133 Nutzerinnen und Nutzern mit @edubs.ch-Adressen ins Darknet gestellt. Ein Rückblick auf die Wochen nach dem Datendiebstahl.
Basler Schulblatt: Cyberkriminelle haben im Mai Daten von Schülerinnen, Schülern, Lehrpersonen oder Fachpersonen im Darknet veröffentlicht. Was sie bei Angriffen auf die Server grosser Unternehmen wollen, leuchtet ein. Warum aber haben sie das Erziehungsdepartement angegriffen?
Thomas Wenk: Das war kein gezielter Angriff. Cyberkriminelle versenden wahllos Massenmails. Öffnet jemand eines davon und klickt auf den Link – was allen passieren kann, auch mir –, installiert sich eine Schadsoftware. Die Kriminellen schauen sich danach auf dem Computer dieser Person um und machen eine Triage. Bei grossen Firmen lohnt sich ein Datendiebstahl wegen des Reputationsschadens. Beim ED diente der Diebstahl wohl eher Marketingzwecken. Die Botschaft lautete: Seht alle her, wir schrecken vor einer Veröffentlichung von Daten nicht zurück, auch nicht, wenn Kinder oder Jugendliche davon betroffen sind.
Gibt es realistische Chancen, dass die Kriminellen gefasst und zur Rechenschaft gezogen werden?
Nein, denn Cyberkriminelle agieren meistens von Ländern aus, in denen die Strafverfolgung nicht so gut funktioniert wie hierzulande.
Wer kann sich die gestohlenen Daten im Darknet anschauen und wie müssen Interessierte dabei vorgehen?
Dazu braucht es einen speziellen Browser und eine Suche nach der Website-Adresse der Cyberkriminellen-Gruppe, die die Daten des EDs gestohlen hat. Die meisten Nutzerinnen und Nutzer des Internets haben diesen Browser auf ihren Geräten nicht installiert, weil er sehr langsam ist. Langsam ist er, weil die Daten über mehrere Knoten fliessen, um die Spuren im Netz zu verwischen.
Macht sich strafbar, wer diesen Browser herunterlädt und nutzt?
Nein. Der Ursprung des Darknets ist nicht kriminell. Regimekritikerinnen und Regimekritiker in totalitären Staaten beispielsweise nutzen das Darknet, um ihre Haltung anonym zu veröffentlichen und sich vor Verfolgung schützen zu können. Kriminelle missbrauchen solche Technologien für ihre Zwecke.
Sie haben in den vergangenen Wochen immer wieder betont, dass wir mit solchen Angriffen auch künftig rechnen müssen. Heisst das, dass nichts mehr vor Diebstahl sicher ist?
Im Netz ist nichts sicher. Wir können die Sicherheit erhöhen und tun das auch, aber eine Garantie gibt es nicht. Der Einsatz erfahrener Clouddienste zum Beispiel erhöht die Sicherheit. Denn grosse Clouddienst-Firmen investieren sehr viel in die Sicherheit ihrer Dienste. Aber auch hier gilt: Eine absolute Sicherheit gibt es nicht.
Was bedeutet das für die Lehr- und Fachpersonen oder für die Schülerinnen und Schüler im Schulalltag?
Ein sicheres Passwort und eine Zweifaktor-Authentifizierung – zum Beispiel für Lehr- und Fachpersonen und Mitarbeitende der Verwaltung – bieten zum Beispiel einen effektiveren Schutz. Ein Passwort-Test auf der Website www.passwortcheck.ch des Datenschutzbeauftragten des Kantons Zürich unterstützt bei der Wahl eines Passworts. Begriffe wie «Tessin2023» sind gemäss dieser Website innert weniger als einer Sekunde geknackt. Ein Passwort wie «Mai??Käfer03li» mit Sonderzeichen, Zahlen, gezielter Falschschreibung, Gross- und Kleinschreibung oder Dialektanteilen hingegen gewährleistet einen weitaus höheren Schutz. Eine Zweifaktor-Authentifizierung wiederum schützt vor Diebstählen, die Cyberkriminelle mithilfe einer Tastaturaufzeichnung begehen. Sie können damit zwar mein Passwort stehlen. Das bringt ihnen aber nichts, wenn es fürs Login zusätzlich einen Code braucht, der an mein Handy geschickt wird oder den ich auf einem kleinen Gerät ablesen kann.
Innert Kürze hatte das DIG-IT-Team Programme parat, um vom Datendiebstahl direkt Betroffene zu identifizieren oder allen Interessierten einen automatischen Selbstcheck anzubieten. Haben Sie dafür mit Fachpersonen zusammengearbeitet?
Es waren die Spezialisten und Spezialistinnen von DIG-IT, die das programmiert haben. Mehr noch: In einem riesigen Einsatz haben die DIG-IT-Mitarbeitenden eine Hotline auf die Beine gestellt, die vielen Anfragen beantwortet und auf der ED-Website mithilfe von FAQs informiert. Bereits in der ersten Woche haben mehr als 1'000 Personen vom Selbstcheck Gebrauch gemacht und innert Minuten eine Rückmeldung erhalten.
Können Schülerinnen, Schüler, Lehrpersonen oder Fachpersonen etwas tun, um einen Datendiebstahl wie jenen von Anfang Jahr zu verhindern?
Wir setzen auf eine offene Fehlerkultur. Jede Person, die in einem suspekten E-Mail aus Versehen einen Link angeklickt hat, meldet sich am besten sofort bei DIG-IT unter Telefon 061 267 42 22 oder support@edubs.ch. Wir sind allen dankbar, die so etwas sofort melden. Und Sie können sich darauf verlassen, nicht kritisiert zu werden. Wie gesagt: Es kann ausnahmslos allen passieren, dass wir aus Versehen einen von Cyberkriminellen präparierten Link anklicken.
Wie schützt sich das ED vor weiteren möglichen Datendiebstählen?
Seit Anfang 2022 bauen wir eine neue IT-Infrastruktur auf. Diese nehmen wir schrittweise in Betrieb. Lieferengpässe, beispielsweise von Netzwerkgeräten, konnten wir mithilfe von Mietgeräten überbrücken. Bis Ende Jahr möchten wir 80 Prozent und bis Mitte 2024 100 Prozent des Projekts abgeschlossen haben.
Werden die Lehr- und Fachpersonen etwas von der neuen IT-Infrastruktur merken?
Für die Lehr- und Fachpersonen werden die erhöhten Sicherheitsmassnahmen spürbar sein. Bei einem Verdacht auf einen Cyberangriff etwa werden wir präventiv Server vom Netz nehmen. Das bedeutet, dass temporär keine Zugriffe beispielsweise auf das Webmail oder auf andere Daten möglich sind. Lehr- und Fachpersonen informieren wir in solchen Situationen über das eduBS-Portal. Ausserdem werden wir die Passwortregeln überprüfen, etwa deren Komplexität oder eine Zweifaktor-Authentisierung. Mir ist bewusst, dass das für die eduBS-Nutzerinnen und -Nutzer mit Unannehmlichkeiten verbunden ist. Doch wir möchten alles daransetzen, einen erneuten Datendiebstahl zu verhindern. Meine Devise lautet deshalb: lieber ein Fehlalarm zu viel als einer zu wenig.
|
Thomas Wenk |
|
Cyberkriminalität beschäftigt DIG-IT-Leiter Thomas Wenk nicht erst seit dem Datendiebstahl vom vergangenen Januar: Vor seinem Wechsel ins Erziehungsdepartement im Sommer 2021 hat er das Kompetenzzentrum Digitale Ermittlungsdienste der Stadtpolizei Zürich geleitet. Wenk ist 51 Jahre alt, mit einer Primarlehrerin verheiratet und hat fünf Kinder im Alter von 15 bis 25 Jahren. Die Abteilung Digitalisierung und Informatik DIG-IT beschäftigt 70 Mitarbeitende. |
Interview: Valérie Rhein, Foto: Grischa Schwank