Vermutlich in der Nacht vom 14. auf den 15. Januar 2025 erlangten Unbekannte unberechtigten Zugriff auf die IT-Systeme eines rheinland-pfälzischen IT-Dienstleisters, der auch für mehrere öffentliche und private Schulen in Rheinland-Pfalz und Baden-Württemberg arbeitet. Das meldet das Landeskriminalamt Rheinland-Pfalz zusammen mit der Generalstaatsanwaltschaft Koblenz.
Nach dem derzeitigen Ermittlungsstand handelt es sich bei den Tätern um professionelle und organisierte Kriminelle, die aus Cyberkriminalität laut LKA „ein regelrechtes ‘Geschäftsmodell’“ gemacht haben. Eine gängige Methode sei dabei der Einsatz von Ransomware, mit der die Daten auf den Servern ihrer Opfer verschlüsselt würden. Die Kriminellen würden dann für die Entschlüsselungssoftware ein Lösegeld fordern, meist zu zahlen in einer Kryptowährung. Darüber hinaus werde in der Regel die Veröffentlichung vertraulicher oder kompromittierender Informationen im Darknet angedroht.
Etwa 70 Schulen im Land betroffen
Das betroffene Unternehmen bietet den etwa 70 Schulen in Rheinland-Pfalz ein dynamisches Netzwerk zur Verfügung, das laut LKA ein pädagogisches Unterrichtsnetzwerk und ein Verwaltungsnetz für die Schulverwaltung beinhaltet.
Nach derzeitigem Kenntnisstand sind 45 Schulen von dem Cyberangriff mittelbar betroffen. Es handelt sich um Schulen in den Trägerschaften der Stadt Speyer, des Kreises Germersheim, der Verbandsgemeinde Herxheim, des Bistums Speyer, des Kreises Bad Dürkheim, der Verbandsgemeinde Rheinauen, der Verbandsgemeinde Lambsheim-Heßheim, der Gemeinde Limburgerhof und der Stadt Neustadt.
Darüber hinaus wurden bei mehreren Schulen zumindest teilweise Daten verschlüsselt und gestohlen. Die Täter drohen damit, diese Daten im Darknet zu veröffentlichen. Die Landeszentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz hat die Ermittlungen übernommen und arbeitet dafür eng mit den Experten des LKA zusammen.
Bei den Ermittlungen sollen der Datenleak bestimmt, die Täter identifiziert und der Inhalt der verschlüsselten sowie abgeflossenen Daten herausgefunden werden. Sollten gestohlene Daten geleaket werden, werden sie von Spezialisten des Landeskriminalamts in Hinblick auf Gefahren für die öffentliche Sicherheit und auf ermittlungsrelevante Erkenntnisse ausgewertet.
Zum jetzigen Zeitpunkt können keine weiteren Details zu den Tätern, deren Identität oder Motiven mitgeteilt werden. Das Landeskriminalamt steht kontinuierlich im Austausch mit den betroffenen Stellen, um relevante Erkenntnisse rasch auszutauschen und den IT-Dienstleister zu unterstützen.
