Daten im Darknet: Direkt betroffene Nutzerinnen und Nutzer sind identifiziert und informiert

Das Erziehungsdepartement hat die gestohlenen und im Darknet publizierten Daten analysiert und die direkt betroffenen Personen informiert. 761 Personen sind nach aktuellem Stand des Wissens direkt vom Diebstahl von persönlichen Dateien und der Publikation im Darknet betroffen. Darunter befinden sich Lehr- und Fachpersonen, Lernende, Schülerinnen und Schüler sowie Mitarbeitende der Verwaltung. Von weiteren 372 Personen wurden lediglich unpersönliche Standarddateien publiziert. Insgesamt sind im betroffenen Netzwerk eduBS deutlich über 30'000 Nutzerinnen und Nutzer registriert. Vom Datendiebstahl und der Publikation der Daten sind also rund 3% direkt betroffen.

Die insgesamt 761 direkt betroffenen Nutzerinnen und Nutzer teilen sich wie folgt auf:

Schülerinnen und Schüler/Lernende 224
Lehr- und Fachpersonen 195
ED-Mitarbeitende der Kantonsverwaltung 342

Stand der Analyse

Von insgesamt 1’133 Accounts des Netzwerks «eduBS» hat die Gruppe von Cyberkriminellen Daten entwendet und im Darknet publiziert. Diese Nutzerinnen und Nutzer sind direkt betroffen vom Angriff.

Unter diesen insgesamt 1’133 direkt Betroffenen gibt es 372 Nutzerinnen und Nutzer, von denen in den Verzeichnissen keine persönlichen Dateien identifiziert wurden, sondern ausschliesslich Standarddateien, die für den Betrieb der Computer nötig sind. Solche Dateien enthalten keine sensiblen persönlichen Informationen.

Demzufolge sind nach aktuellem Stand des Wissens 761 Personen direkt betroffen vom Datendiebstahl und der Publikation im Darknet: Von ihnen hat die Gruppe von Cyberkriminellen Dateien mit potenziell sensiblem persönlichem Inhalt gestohlen und publiziert.

Die Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements hat ausschliesslich Datenverzeichnisse analysiert. Diese geben Aufschluss über die Besitzerinnen und Besitzer der Daten und über Dateinamen, aber nicht über den Inhalt der einzelnen Dateien. Inhaltlich wurden Dateien aus Datenschutzgründen nicht geprüft.

Die Dateien können Angaben zu Drittpersonen enthalten. Drittpersonen sind indirekt Betroffene. Dies kann zum Beispiel dann der Fall sein, wenn eine Adressliste einer Schulklasse im Darknet publiziert worden ist. In diesem Fall ist die direkt betroffene Lehrperson identifiziert, die diese Adressliste abgespeichert hat. Die Adressliste selber wird inhaltlich nicht überprüft. In diesem Beispiel können also die Namen der indirekt betroffenen Schülerinnen und Schüler auf der Adressliste von der Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements nicht identifiziert werden.

Weiteres Vorgehen

Die Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements hat die ihr bekannten direkt betroffenen Personen persönlich benachrichtigt. Die direkt betroffenen Personen haben eine Liste mit den Dateien erhalten, die im Darknet publiziert sind. Wenn diese Dateien nicht von den betroffenen Personen selbst zwischenzeitlich gelöscht worden sind, befinden sich die Dateien immer noch auf dem Serverbereich dieser Personen. In einem ersten Schritt können direkt betroffene Personen anhand der Liste also selber überprüfen, welche ihrer Dateien publiziert worden sind.

Neben den direkt betroffenen Personen sollen auch indirekt betroffene Personen benachrichtigt werden. Indirekt betroffene Personen können nur mit der Hilfe von direkt betroffenen Personen identifiziert werden. Im Beispiel von oben kann nur die Lehrperson wissen, welche Schülerinnen und Schüler auf der Adressliste stehen, die im Darknet publiziert worden ist.

Die Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements hat die direkt betroffenen Nutzerinnen und Nutzer persönlich kontaktiert, von denen persönliche Dateien publiziert worden sind, und sie um ihre Unterstützung bei der Identifizierung von indirekt betroffenen Personen gebeten. Die direkt betroffenen Personen können dabei selber entscheiden, ob sie die Analyse der Daten und die Benachrichtigung von indirekt betroffenen Personen der Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements überlassen oder ob sie dies selber vornehmen möchten. In jedem Fall steht die Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements mit ihrer Unterstützung zur Verfügung.

Passwörter müssen geändert werden

Die Analyse hat gezeigt, dass beim Datendiebstahl auch verschlüsselte Passwörter gestohlen wurden. Im März wurden alle Nutzerinnen und Nutzer von eduBS aufgefordert, ihr Passwort zu ändern. Heute sind zusätzlich die direkt betroffenen Nutzerinnen und Nutzer aufgefordert worden, alle Passwörter zu ändern, die sie in ihrem Browser gespeichert haben. Ebenso sind sie aufgefordert worden, jene Passwörter von anderen Accounts zu ändern, die gleich sind wie das Passwort, das sie für ihren eduBS-Account verwenden.

Selbstcheck: Bin ich direkt betroffen?

Die Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements hat heute alle direkt betroffenen Personen persönlich informiert. Überdies haben die über 30’000 aktiven Nutzerinnen und Nutzer von eduBS die Möglichkeit, mit einem Mail einen Selbstcheck zu machen: Nutzerinnen und Nutzer schicken ein Mail an check@digit.education. Sie erhalten dann eine automatische Antwort, die ihnen angibt, ob sie vom Datendiebstahl und der Publikation der Daten direkt betroffen sind oder nicht.

Die letzte Woche in Betrieb genommene Hotline (061 267 13 13, it.sicherheit@edubs.ch) bleibt in Betrieb. Dem Erziehungsdepartement ist wichtig, weiterhin alle Fragen und Anliegen in diesem Zusammenhang entgegennehmen und wo immer möglich direkt beantworten zu können.

nach oben