Am 7. Januar gab Powerschool bekannt, dass es zwei Wochen zuvor zu einem Netzwerkangriff gekommen war. Dieser habe zu einem "unbefugten Export persönlicher Daten" geführt. Das US-Unternehmen entwickelt Lösungen für das Bildungswesen. Die Software kann unter anderem für die Verwaltung von Noten, Unterrichtspräsenz, Lehrplänen sowie die Kommunikation zwischen Lehrpersonen, Eltern, Schülerinnen und Schülern eingesetzt werden. Auch Apps für Android und iOS stehen zur Verfügung. Kernmarkt des Unternehmens sind die USA und Kanada, seine Tools sind aber weltweit an Schulen im Einsatz.
Die Daten waren im Cloud-basierten Student Information System (SIS) von Powerschool gespeichert. Zu den durch die Angreifer gestohlenen Informationen gehörten Namen, Kontaktdaten, Geburtsdaten, medizinische Informationen, Sozialversicherungsnummern und weitere Informationen zu Schülerinnen und Schülern sowie zu Lehrpersonen.
Lösegeld an Erpresser bezahlt
Wie 'Bleeping Computer' berichtete, habe die Firma in einem FAQ für Kunden angegeben, dass man ein Lösegeld gezahlt habe, um zu verhindern, dass die gestohlenen Daten an Dritte weitergegeben werden. Es sei kein klassischer Ransomware-Angriff mit Datenverschlüsselung gewesen, sondern ein "reiner" Datendiebstahl mit anschliessender Erpressung. Malware sei keine in die Powerschool-Produkte eingeschleust worden.
Bis heute hat das Unternehmen aber keine konkreten Zahlen vorgelegt, wie viele Personen von dem Datenleck betroffen sind. Gemäss aktuellen Quellen von
'Bleeping Computer' haben die Angreifer Daten von 62 Millionen Schülerinnen und Schülern sowie von 9,5 Millionen Lehrkräften gestohlen.
Powerschool in der Schweiz
Lösungen von Powerschool sind auch in der Schweiz im Einsatz, unter anderem an der Leysin American School im Kanton Waadt und an der Zurich International School (ZIS). An den Standorten der ZIS in der Region Zürich werden rund 1300 Schülerinnen und Schüler unterrichtet. Mediensprecherin Michaela Seeger erklärt auf Anfrage von inside-it.ch: "Wir wurden am 7. Januar von Powerschool über den Datendiebstahl informiert." Abklärungen hätten ergeben, dass keine Daten der ZIS entwendet wurden. "Wir haben im Anschluss ein Schreiben an alle Eltern verschickt. Darin wurden sie über den Vorfall orientiert und auch darüber, dass ihre Kinder nicht davon betroffen sind", sagt Seeger.
'Ars Technica' schreibt, es würden immer mehr Meldungen von Schulen über die "verheerenden Folgen" des Cyberangriffs eintreffen. So hat das Toronto District School Board in dieser Woche Eltern, Schüler und ehemalige Schülerinnen darüber informiert, dass durch den Diebstahl vertrauliche Daten aller Schüler und Schülerinnen des Bezirks zwischen 1985 und 2024 offengelegt wurden. Zuvor hatte schon der kalifornische Schulbezirk Menlo Park City mitgeteilt, dass die geklauten Informationen bis zum Schuljahr 2009 zurückgehen würden.
Sind die Daten wirklich gelöscht?
Was mit den gestohlenen Daten genau passiert, bleibt unklar. Laut 'Bleeping Computer' basieren die Zusicherungen der Erpresser auf einem Video, das sie beim Löschen der Daten zeigt. Powerschool hat diesen Bericht bis jetzt nicht bestätigt. Es ist auch fraglich, ob ein Video als Beweis genügt, dass alle Kopien der Daten vernichtet wurden.
Das Unternehmen hat die Security-Firma Crowdstrike beauftragt, den Vorfall zu untersuchen und einen Bericht darüber zu verfassen. Dieser soll den Kunden zur Verfügung gestellt werden. Auf seiner Website schreibt Powerschool: "Wir bieten allen Schülern und Lehrkräften, deren Daten betroffen sind, zwei Jahre lang kostenlose Identitätsschutzdienste und allen erwachsenen Schülern und Lehrkräften, deren Daten betroffen sind, zwei Jahre lang kostenlose Kreditüberwachungsdienste an." Man nehme die Verantwortung, die Privatsphäre von Schülern und Schülerinnen, Familien und Lehrkräften zu schützen, "äusserst ernst" und stelle für die Betroffenen Ressourcen und Unterstützung bereit.