Der Web-Mailer Horde, den viele Grund- und Hauptschulen der Stadt München nutzen, hat seit Juni 2020 keine Updates mehr erhalten. In dreieinhalb Jahren keine Updates machen zu können, das sei brandgefährlich, sagt IT-Sicherheitsexperte Florian Hansemann von der Firma HanseSecure: "Das ist eine extrem alte Software, die Wahrscheinlichkeit ist sehr hoch, dass man da Sicherheitslücken findet." Was noch schlimmer sei, so Hansemann, die Software erhalte grundsätzlich keine Updates mehr. Sie hat ihr sogenanntes 'End of Life' erreicht.
Bundesamt warnt vor offenen Schwachstellen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: "Schwachstellen in Büroanwendungen und anderen Programmen sind nach wie vor eines der Haupteinfallstore für Cyber-Angriffe." Da beim Horde Web-Mailer seit dreieinhalb Jahre keine Schwachstellen gepatcht werden, also durch ein Update behoben werden, könnten Hacker leichtes Spiel haben, so Florian Hansemann.
Natürlich seien im E-Mailverkehr von Grund- und Hauptschulen Daten von Kindern und Jugendlichen vorhanden, so der Münchner IT-Sicherheitsexperte Hansemann: "Wenn Hacker jetzt diese Daten erbeuten, könnten sie das beispielsweise als Identitäts-Diebstahl verwenden, sich als Kind ausgeben, die Personalien von ihnen übernehmen, die Anschrift heraussuchen, Stalking", das seien die Themen, um die es da gehe. Immer wieder tauchen Daten von Kindern und Jugendlichen auf einschlägigen Hackerseiten im Darknet auf, so IT-Sicherheitsexperten.
Stadt München kündigt Verbesserung an
Verantwortlich für die IT-Sicherheit an Bayerns Schulen ist der sogenannte Sachaufwandsträger, in diesem Fall ist das die Stadt München. Das IT-Referat der Stadt teilt auf Anfrage des BR mit, die Ablösung vom Horde-Web-Client erfolge in einem bereits laufenden, weitreichenden Umstrukturierungsprojekt: "Ziel ist es, die Ablösung des Horde Web Client reibungsarm und ohne Einschränkungen für die Bildungseinrichtungen vorzunehmen." Wann der Prozess abgeschlossen sein wird, teilt die Stadt nicht mit.
Elternverband: "Daten von Kindern besonders schützen"
Der Sprecher des bayerischen Elternverbandes Gundolf Kiefer ist Professor für Technische Informatik an der Hochschule Augsburg. Veraltete Web-Mailer zu nutzen, sei ein Unding. Er sorgt sich um die Datensicherheit in der Schule, die die Datenschutzgrundverordnung, kurz DSGVO, eigentlich vorgibt: "Es macht natürlich nervös, nicht ohne Grund, das sieht die DSGVO ja auch vor, die Daten von Minderjährigen, die müssen ganz besonders geschützt werden, weil die Kinder, die können sich nicht wehren." Sie seien am Schluss die Leidtragenden. Wenn es um IT-Ausstattung der Schule gehe, denke man immer nur an die Anschaffung, aber nicht an die Folgekosten und die Sicherheit: "Das muss unserer Ansicht nach unbedingt auch ernster genommen werden. Wir brauchen IT-Fachpersonal", so Kiefer.
Lehrkräfte als IT-Spezialisten?
Und da ist noch ein Problem: Nicht immer haben wirkliche Experten die IT-Sicherheit der Schulen in der Hand. Bayerns Kultusministerium erlaubt laut "Empfehlungen zur IT-Ausstattung von Schulen für die Jahre 2023 und 2024" den Lehrkräften in einem "vertretbaren Maß", technische IT-Administration von Hard- und Software vorzunehmen. Das sei ein Problem, meint Hans Rottbauer vom Lehrer- und Lehrerinnenverband: "Schulen haben IT-Systeme, die durchaus vergleichbar sind mit einer mittelständischen Firma. In einer mittelständischen Firma ist ein festangestellter ITler vorhanden. Es ist eine Fachkraft da, die in diesem Bereich ausgebildet ist, die diesen Bereich betreut. Und genau so sollte es eigentlich an den Schulen sein. Wir brauchen hier eine bessere Ausstattung, personelle Ausstattung."
Bayerischer Datenschutzbeauftragte prüft Münchner Fall
Für den Münchner Rechtsanwalt Marc Maisch ist der Einsatz des veralteten Web-Mailers sogar ein klarer Verstoß gegen die Datenschutzgrundverordnung, die verlange, "dass man Maßnahmen trifft, die nach dem aktuellen Stand der Technik funktionieren. Und in dem Fall, würde ich sagen, gibt es überhaupt keine andere Lösung, als hier auf diesen Web-Mailer zu verzichten. Und ein neues Webmail-System einzuführen." Aufgrund der BR-Recherchen hat Rechtsanwalt Marc Maisch dem Datenschutzbeauftragten eine Beschwerde geschickt. Die sei nun in Arbeit, teilt das Amt kurz vor Weihnachten mit.
Im Video: Wie wirkungsvoll sind IT-Systeme an Schulen geschützt?
Cyber-Sicherheit an Münchner Schulen: Wie wirkungsvoll sind die IT-Systeme vor dem Zugriff von Hackern geschützt?
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!