Kreis Böblingen, Heidelberg, Mannheim - die Meldungen häufen sich, in denen sich Unbekannte illegalen Zutritt zu Homeschooling-Konferenzen verschafft haben - mit ungeahnten Folgen.
Die Gemeinschaftsschule in Jettingen im Kreis Böblingen ist beim Englisch-Unterricht. Statt Hausaufgaben zu besprechen und Dialoge vorzubereiten, platzt plötzlich ein Unbekannter in die Video-Konferenz, beleidigt die Lehrer und alle Schülerinnen und Schüler, die Courage zeigen und einschreiten wollen. Die Lehrer schmeißen den Störenfried raus. Doch der kommt wieder und wieder.
Die Technik macht es ihm einfach: Ihm reicht ein einfacher Link, um sich in die Videokonferenz der Schüler einzuwählen. Irgendwann beenden die Lehrer den Spuk und schalten die Konferenz ab. Schulleiter Dominic Brucker ist froh, dass es bei Beleidigungen geblieben ist. In Heidelberg waren es pornografische und rechtsradikale Inhalte. In Mannheim posierte ein Unbekannter sogar mit Maske und Waffe vor der Kamera. In allen drei Fällen ermitteln Polizei und Staatsanwaltschaft - im Fall der rechtsradikalen Propaganda sogar der Staatschutz.
Wie groß das Problem in Baden-Württemberg ist, lässt sich nicht genau sagen. Weder das LKA noch das Bildungsministerium erfassen solche Angriffe systematisch. Beide gehen derzeit jedoch davon aus, dass es keine groß angelegten Hacker-Angriffe auf die Schulen im Land gibt.
"Der Spaß war schnell überschritten, als Leute beleidigt wurden."
Schulleiter Dominic BruckerDas größte Sicherheitsrisiko ist dabei nicht einmal die Technik. Häufig sind es die Schüler, die Links oder Zugangsdaten arglos an Dritte weitergeben - wie in Jettingen: "Das war nicht so weit gedacht", erklärt Brucker. Der Schüler habe jedoch "in Kauf genommen, dass es eben im Spaß zu einer Unterrichtsstörung kommt. Und der Spaß war eben schnell überschritten, wenn da Leute beleidigt werden."
Ob es schon illegal ist, wenn Schülerinnen und Schüler ihre Zugangsdaten einfach weitergeben, ist rechtlich umstritten. Klar ist jedoch: Wenn es dann zu einer Straftat kommt, hat auch die undichte Stelle ein Problem: "Auch hier haben wir eben die Beihilfe zu einer Straftat, wenn die Schülerinnen und Schüler die Daten weitergeben. Wir haben das in der Kommunikation der Klassen und den Eltern gegenüber auch deutlich gemacht."
Über den IT-Dienstleister, der die Schule versorgt, ließ Brucker die IP-Adresse des Störers auslesen und übergab sie der Polizei mitsamt den Chatverläufen und einem Audio-Mitschnitt, den ein Schüler mit dem Handy aufgezeichnet hat. Laut Brucker dauerte es nicht einmal 48 Stunden, bis die Polizei den Störer ausfindig gemacht und befragt hatte.
Es gibt jedoch kein landesweites Sicherheitskonzept, da das Bildungsministerium den Schulen die Wahl lässt, mit welchen Programm und auf welchen Servern sie arbeiten wollen. Mal sind es die Programme und Server, die das Land über das BelWü-Netzwerk zur Verfügung stellt. Mal sind es kommunale Server, auf denen die Programme laufen. Manchmal hosten die Schulen ihre Video-Konferenzen einfach selbst oder verlassen sich - wie Brucker - auf IT-Dienstleister.
Daher empfiehlt das Bildungsministerium auch die eigene Moodle-Plattform. Die Schulen vergeben in diesem Fall eindeutige Zugangsdaten an ihre Schülerinnen und Schüler. Wer damit Blödsinn macht oder die Daten illegal an Dritte weitergibt, kann schnell identifiziert werden. Für diese Plattform stelle das Land auch eine umfangreiche Fortbildung und technische Unterstützung bereit. Das Ministerium verweist hierfür auf das Zentrum für Schulqualität und Lehrerbildung (ZSL) sowie das Landesmedienzentrum.
Brucker hatte sich mit seinen Kolleginnen und Kollegen im Frühjahr bewusst für niedrige Hürden entschieden: "Da wo wir mit Passwörtern gearbeitet haben, hat sich gezeigt: Je jünger die Schüler, desto schwieriger ist es, dass die Passwörter ankommen oder richtig geschrieben werden." Die guten Erfahrungen aus dem Frühjahr, als die Schulen das erste Mal für mehrere Wochen geschlossen waren, schienen ihm zunächst Recht zu geben. "Wir sind mit sehr viel Vertrauen daran gegangen. Denn ich finde, es gehört zur Medienkompetenz dazu, dass die Schüler sich bewusst sind, wie viel Verantwortung sie mit den Daten tragen."
Mittlerweile hat die Gemeinschaftsschule die virtuelle Mauer deutlich höher gezogen, um seine Schüler vor weiteren - und womöglich deutlich schlimmeren - Angriffen zu schützen: "Jetzt haben wir uns dafür entschieden, dass wir doch die maximale Sicherheit haben möchten: Passwortschutz, Nutzername, Vorraum und eben auch die Möglichkeit, das Ganze auszulesen und nachzuverfolgen."
Allerdings gilt beim Homeschooling das gleiche wie in allen Bereichen der IT-Sicherheit: Egal, wie hoch die Mauer ist, das größte Risiko ist und bleibt der Faktor Mensch.