Wenn Schüler die IT sichern wollen, und die Erwachsenen nicht zuhören
2,5 Terabyte intime Daten, öffentlich
Zeugnisse, Anwesenheitslisten, Beurteilungen, Gesundheitsdaten, Videos vom Schulausflug. Der Datensatz, den LockBit Ende Januar 2026 im Darknet veröffentlichte, umfasst 2,2 Millionen Dateien von über 40 Schulen in Rheinland-Pfalz. Das LKA bestätigt 1,7 Terabyte Material von Verwaltungsservern. Die Anwaltskanzlei Maisch spricht nach forensischer Sichtung von über 2,5 Terabyte personenbezogener Daten, darunter Gesundheitsdaten nach Art. 9 DSGVO, die höchste Schutzkategorie.
Der Angriff passierte im Januar 2025. Ein LockBit-Affiliate drang über den IT-Dienstleister Topackt IT Solutions in Speyer ein, der das Schulnetzwerk DNSX betreibt. 45 Server wurden verschlüsselt. Die Daten kopierten die Angreifer vorher und drohten mit Veröffentlichung.
Über ein Jahr passierte nichts. Dann, Anfang März 2026, war es so weit: Alles war im Darknet.
Der Schüler, der es schon 2023 wusste
Besonders brisant: Ein damaliger Schüler des Friedrich-Magnus-Schwerd-Gymnasiums in Speyer hatte die Sicherheitslücken bereits im Dezember 2023 gemeldet. Admin-Passwörter im Klartext auf dem Server. Veraltete Verschlüsselung. Keine Netzwerktrennung zwischen Schüler-, WLAN- und Verwaltungsnetz. Über 600 Konten mit demselben sechsstelligen Passwort aus Kleinbuchstaben. Zahlreiche Accounts mit globalem Admin-Zugriff auf alle Schulen.
Die Reaktion des Dienstleisters? Laut dem damaligen Schüler: heruntergespielt. Man brauche „kriminelle Energie", um so etwas zu tun, und es gebe „nicht viele Schüler, die sowas können". Der Schüler bot an, den Server erneut zu testen. Nichts geschah.
Topackt-Geschäftsführer Michael Nist widerspricht dieser Darstellung. Man habe reagiert, aber einige Änderungen hätten zu Störungen im Schulbetrieb geführt und erhebliche Kosten verursacht. Die Sicherheitsarchitektur sei mittlerweile runderneuert worden.
Datenschutz: Mangelhaft von Anfang bis Ende
Die Stadt Speyer informierte Eltern und Schüler nach dem Angriff mit einem knappen Aushang. Von Datenabfluss war „nicht auszuschließen" die Rede. Von Umfang, Folgen oder Schutzmaßnahmen kein Wort.
Das ist kein Kavaliersdelikt. Art. 34 DSGVO verlangt, dass betroffene Personen „unverzüglich" informiert werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Bei Gesundheitsdaten, Zeugnissen und Adressen von Minderjährigen dürfte das schwer zu bestreiten sein.
Der Betroffene, mittlerweile IT-Sicherheitsmitarbeiter bei einem Unternehmen in Bamberg, hat über seinen Anwalt Beschwerde beim Datenschutzbeauftragten von Rheinland-Pfalz eingereicht. Der Vorwurf: Die Stadt Speyer und Topackt hätten die nötigen Schritte zur Datensicherheit nicht unternommen.
Was Betroffene tun können
Wer von dem Leak betroffen ist, also an einer der 40+ Schulen war, deren Daten bei Topackt lagen, hat mehrere Optionen:
- Eigene Beschwerde beim Landesdatenschutzbeauftragten einreichen. Das geht formlos und kostet nichts.
- Auskunftsrecht nach Art. 15 DSGVO: Man kann bei der Schule und beim Dienstleister verlangen zu erfahren, welche eigenen Daten betroffen sind.
- Schadenersatz nach Art. 82 DSGVO: Wenn ein materieller oder immaterieller Schaden entstanden ist, etwa durch Identitätsdiebstahl.
- Passwörter ändern, falls man an einer der betroffenen Schulen dasselbe Passwort anderswo verwendet hat.
Das eigentliche Problem
Dieser Fall ist kein Einzelfall. Er ist symptomatisch für die IT-Sicherheit an deutschen Schulen. Outsourcing an kleine Dienstleister mit begrenztem Budget. Keine verbindlichen IT-Sicherheitsstandards. Und wenn ein Schüler Sicherheitsprobleme meldet, wird er abgewimmelt, weil es unbequem und teuer ist, sie zu lösen.
Dass ausgerechnet der abgewimmelte Schüler jetzt derjenige ist, der rechtlich dagegen vorgeht, ist die bittere Pointe. Vielleicht ändert das endlich was.
Quellen: Heise · Maisch.law