Pressemitteilung

Hackerangriff auf Schulnetzwerk DNSX

Speyer, 24. Januar 2025 – Unser Schulnetzwerk DNSX, das 46 Schulen aus der Vorderpfalz sowie eine private Schule in Baden-Württemberg nutzen, wurde Ziel eines Hackerangriffs durch die international agierende Gruppierung LockBit. Diese hat sich inzwischen öffentlich zu dem Angriff bekannt. Von den betroffenen Schulen waren 33 auch mit ihrer Schulverwaltungssoftware an das Netzwerk angebunden.

Der Angriff wurde zu Beginn der zweiten Kalenderwoche 2025 durch die Verschlüsselung der Daten an den beteiligten Schulen entdeckt. Unmittelbar danach wurden das Landeskriminalamt (LKA) sowie Schulträger und Datenschutzbehörden über den Vorfall informiert. Die Zusammenarbeit mit den zuständigen Stellen erfolgt seither kontinuierlich und engmaschig.

Sofortmaßnahmen zur Eindämmung des Angriffs

Als zentrale Sofortmaßnahme wurde der zentrale Windows-Server, der administrative Aufgaben im DNSX-Netzwerk wahrnimmt, heruntergefahren und bis auf Weiteres vom Netz getrennt. Die Angreifer hatten diesen Server infiltriert und genutzt, um durch automatisierte Skripte auf die angebundenen Schulen zuzugreifen. Ebenso wurden alle Homeoffice-Zugänge der Schulen vorsorglich deaktiviert.

Aktuell arbeiten wir stetig daran, den Ermittlungsbehörden alle relevanten Log-Daten zur Verfügung zu stellen, um den genauen Ablauf des Angriffs aufzuklären.

Ransomware-Angriff: Exfiltration und Verschlüsselung von Daten

Die eingesetzte Ransomware verschlüsselt nicht nur Daten, um sie unbrauchbar zu machen, sondern ist auch dafür bekannt, Daten zu exfiltrieren und anschließend auf Darknet-Plattformen zum Verkauf anzubieten. Die Gruppierung LockBit behauptet, zwischen 1,6 und 4 Terabyte an Daten erbeutet zu haben und droht mit einer Veröffentlichung ab Kalenderwoche 5. Diese Drohung nehmen wir sehr ernst und kooperieren eng mit der Staatsanwaltschaft sowie dem LKA.

Welche Daten exfiltriert wurden, in welcher Qualität sie vorliegen und welche Schulen konkret betroffen sind, kann zum jetzigen Zeitpunkt noch nicht abschließend bewertet werden. Eine vollständige Analyse wird erst möglich sein, wenn die Behörden Zugang zu den geleakten Datenpaketen erhalten haben.

Mögliche Eintrittsvektoren

Nach bisherigen Erkenntnissen ist davon auszugehen, dass die Angreifer über eine Kombination aus Phishing-Attacken und der Ausnutzung sogenannter Zero-Day-Exploits in das System gelangt sind. Diese Angriffsmuster sind bei Ransomware-Vorfällen häufig anzutreffen. Die Ermittlungen zu den genauen Eintrittsvektoren laufen weiterhin auf Hochtouren.

Wiederherstellung und zukünftige Sicherheitsmaßnahmen

Seit dem Bekanntwerden des Angriffs arbeiten wir mit höchster Priorität daran, die betroffenen Server wiederherzustellen, die Systeme zu bereinigen und den Betrieb der Schulverwaltungen schrittweise zu ermöglichen. Zudem wurden alle Anwender angewiesen, ihre Passwörter umgehend zu ändern. Zusätzliche Sicherheitslösungen werden in die Netzwerke implementiert.

Einschränkungen auf DNSX

Wir betonen, dass ausschließlich Kunden unseres Produkts DNSX von diesem Angriff betroffen sind. Andere Unternehmen oder Schulen, die unsere Lösungen nutzen, sind nicht involviert.

Ausblick

Dieser Vorfall hat unser gesamtes Team zutiefst erschüttert. Unser oberstes Ziel ist es, die betroffenen Schulen schnellstmöglich wieder arbeitsfähig zu machen und gleichzeitig alle notwendigen Maßnahmen zu ergreifen, um die Sicherheit unserer Systeme nachhaltig zu verbessern. Wir müssen jedoch realistisch anerkennen, dass es keinen vollständigen Schutz für Netzwerke geben kann, die mit dem Internet verbunden sind. Wir danken allen Beteiligten für ihre Unterstützung, ihr Verständnis und ihre Geduld in dieser herausfordernden Zeit.

Wir werden Sie über neue Ermittlungserkenntnisse stets auf dem laufenden halten.