Basel-Stadt fordert zu Passwortänderung im eduBS-Account auf

Von insgesamt 1133 Accounts des Netzwerks «eduBS» hat eine Gruppe von Cyberkriminellen Daten entwendet und im Darknet publiziert. DieNutzer dieser 1133 Accounts sind direkt betroffen vom Angriff.

Insgesamt sind im betroffenen Netzwerk eduBS deutlich über 30'000 Nutzer registriert. Vom Datendiebstahl und der Publikation der Daten sind also rund drei Prozent direkt betroffen.

Unter diesen insgesamt 1133 direkt Betroffenen gibt es 372 Nutzer, von denen in den Verzeichnissen keine persönlichen Dateien identifiziert wurden, sondern ausschliesslich Standarddateien, die für den Betrieb der Computer nötig sind.

Solche Dateien enthalten keine sensiblen persönlichen Informationen.

Demzufolge sind nach aktuellem Stand des Wissens 761 Personen direkt betroffen vom Datendiebstahl und der Publikation im Darknet: Von ihnen hat die Gruppe von Cyberkriminellen Dateien mit potenziell sensiblem persönlichem Inhalt gestohlen und publiziert.

Darunter befinden sich Lehr- und Fachpersonen, Lernende, Schülerinnen und Schüler sowie Mitarbeitende der Verwaltung.

Die Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements hat ausschliesslich Datenverzeichnisse analysiert.

Diese geben Aufschluss über die Besitzer der Daten und über Dateinamen, aber nicht über den Inhalt der einzelnen Dateien. Inhaltlich wurden Dateien aus Datenschutzgründen nicht geprüft.

Die Dateien können Angaben zu Drittpersonen enthalten. Drittpersonen sind indirekt Betroffene.

Dies kann zum Beispiel dann der Fall sein, wenn eine Adressliste einer Schulklasse im Darknet publiziert worden ist. In diesem Fall ist die direkt betroffene Lehrperson identifiziert, die diese Adressliste abgespeichert hat.

Die Adressliste selber wird inhaltlich nicht überprüft.

In diesem Beispiel können also die Namen der indirekt betroffenen Schüler auf der Adressliste von der Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements nicht identifiziert werden.

Die Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements hat die ihr bekannten direkt betroffenen Personen persönlich benachrichtigt.

Die direkt betroffenen Personen haben eine Liste mit den Dateien erhalten, die im Darknet publiziert sind.

Wenn diese Dateien nicht von den betroffenen Personen selbst zwischenzeitlich gelöscht worden sind, befinden sich die Dateien immer noch auf dem Serverbereich dieser Personen.

In einem ersten Schritt können direkt betroffene Personen anhand der Liste also selber überprüfen, welche ihrer Dateien publiziert worden sind.

Neben den direkt betroffenen Personen sollen auch indirekt betroffene Personen benachrichtigt werden. Indirekt betroffene Personen können nur mit der Hilfe von direkt betroffenen Personen identifiziert werden.

Im Beispiel von oben kann nur die Lehrperson wissen, welche Schüler auf der Adressliste stehen, die im Darknet publiziert worden ist.

Die Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements hat die direkt betroffenen Nutzer persönlich kontaktiert, von denen persönliche Dateien publiziert worden sind, und sie um ihre Unterstützung bei der Identifizierung von indirekt betroffenen Personen gebeten.

Die direkt betroffenen Personen können dabei selber entscheiden, ob sie die Analyse der Daten und die Benachrichtigung von indirekt betroffenen Personen der Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements überlassen oder ob sie dies selber vornehmen möchten.

In jedem Fall steht die Abteilung Digitalisierung und Informatik DIG-IT des Erziehungsdepartements mit ihrer Unterstützung zur Verfügung.

Die Analyse hat gezeigt, dass beim Datendiebstahl auch verschlüsselte Passwörter gestohlen wurden.

Im März wurden alle Nutzer von eduBS aufgefordert, ihr Passwort zu ändern.

Nun sind zusätzlich die direkt betroffenen Nutzer aufgefordert worden, alle Passwörter zu ändern, die sie in ihrem Browser gespeichert haben.

Das gilt auch für jene Passwörter von anderen Accounts, die mit dem Passwort, das sie für ihren eduBS Account verwenden, identisch sind.