Im Dezember 2024 wurde die Toronto District School Board (TDSB) Opfer eines schwerwiegenden Cyberangriffs, der eine riesige Menge an persönlichen Daten von Schülern und Mitarbeitern kompromittierte. Die Attacke richtete sich gegen das cloudbasierte System von PowerSchool, einem Softwareanbieter, der von zahlreichen nordamerikanischen Bildungseinrichtungen zur Verwaltung sensibler Informationen genutzt wird. Vier Monate später wurde bekannt, dass trotz Zahlung eines Lösegeldes die entwendeten Daten nicht gelöscht wurden, sondern weiterhin als Druckmittel für neue Erpressungsversuche eingesetzt werden. Diese Entwicklungen werfen ein Schlaglicht auf die Problematik von Cyberangriffen im Bildungssektor und die begrenzte Wirksamkeit von Lösegeldzahlungen. Das Ausmaß des Datenschutzvorfalls ist beachtlich: Betroffen sind nicht nur aktuelle, sondern zum Teil auch historische Daten seit 1985, darunter Namen, Geburtsdaten, Geschlecht, Gesundheitskartennummern, Wohnadressen, Telefonnummern sowie interne E-Mail-Adressen von Schülern und Mitarbeitern.
Zudem wurden medizinische Informationen erbeutet, die Auskünfte zu Allergien oder gesundheitlichen Erkrankungen enthalten. Finanzielle Daten wie Bankverbindungen oder Sozialversicherungsnummern befanden sich nicht im System und sind daher nicht kompromittiert worden. Das verletzt dennoch massiv die Privatsphäre und Sicherheit Hunderttausender Betroffener. Der Vorfall begann zwischen dem 22. und 28.
Dezember 2024, als ein unautorisierter Zugriff auf die PowerSchool-Plattform gelang, mittels gestohlener Zugangsdaten. Kurz nach dem Angriff informierte PowerSchool betroffene Schulbezirke darüber, dass die Daten gelöscht worden seien und nichts online veröffentlicht wurde. Wochen später wurde jedoch bekannt, dass die Löschung nicht durchgeführt worden war. In einem Versuch, die Situation einzudämmen, hatte PowerSchool ein Lösegeld bezahlt, um die Täter zur Vernichtung der Daten zu bewegen – eine Maßnahme, die mittlerweile fraglich erscheint. Die Hoffnung, dass Lösegeldzahlungen zu einer endgültigen Datenlöschung führen, hat sich in diesem Fall als Trugschluss erwiesen.
Kurz vor Bekanntwerden der Nichtlöschung berichtete die TDSB, dass erneut Erpressungsversuche mit den alten Daten unternommen wurden, was das Vertrauensverhältnis zu PowerSchool und deren Fähigkeit, die Daten ihrer Kunden zu schützen, erschüttert. Die Tatsache, dass die gestohlenen Informationen auch Monate später als Druckmittel verwendet werden, signalisiert ein ernsthaftes Sicherheitsleck und mangelnde Kontrolle über die Folgen des Angriffs. PowerSchool erklärte öffentlich, das Lösegeld „im besten Interesse der Kunden und der Gemeinschaften“ bezahlt zu haben. Zugleich gestand das Unternehmen ein, sich des Risikos bewusst gewesen zu sein, dass die Angreifer ihre Zusage zur Datenvernichtung nicht einhalten würden. Dieser Umstand illustriert das Dilemma von Opfern von Cyberangriffen: Einerseits steht der Schutz der Betroffenen an erster Stelle, andererseits bergen Lösegeldzahlungen eine erhebliche Unsicherheit und können Täter sogar zu weiteren Angriffen ermutigen.
Die Reaktion der Toronto District School Board auf den Vorfall war von Sorgen um die Sicherheit der Betroffenen geprägt und von dem Versuch, weiteren Schaden abzuwenden. Die betroffenen Eltern, Schülerinnen und Schüler sowie die Mitarbeiter wurden per Brief über die Situation informiert. Die Schulbehörde betonte die Zusammenarbeit mit PowerSchool, den Strafverfolgungsbehörden und der Datenschutzkommission. Auch wenn keine finanziellen Informationen entwendet wurden, wirkt sich die Offenlegung der sensiblen persönlichen Daten auf das Vertrauen der Gemeinschaft und die psychologische Sicherheit der Betroffenen aus. Die Datenpanne bei PowerSchool wirft außerdem grundlegende Fragen zur Cybersicherheit in öffentlichen Institutionen auf, insbesondere im Bildungssystem, das sich zunehmend auf digitale Lösungen verlässt.
Die Gefahren einer Cyberattacke sind nicht nur finanzieller Natur, sondern betreffen auch das Potenzial für Identitätsdiebstahl, solche persönliche Informationen langfristig missbraucht werden können. Für Schulbehörden und Softwareanbieter ist dies ein Weckruf, umfassendere Maßnahmen und Strategien für den Datenschutz zu entwickeln. Technisch betrachtet erfolgte die Attacke durch kompromittierte Zugangsdaten, was impliziert, dass Zugangskontrollen und Authentifizierungsmechanismen eine Schwachstelle darstellten. Die Herausforderung liegt dabei nicht nur in der Auswahl sicherer Passwörter, sondern in der Implementierung moderner Sicherheitsprotokolle wie Multi-Faktor-Authentifizierung, regelmäßigen Sicherheitstests und kontinuierlicher Überwachung auf ungewöhnliche Aktivitäten. Außerdem zeigt der Fall die Ambivalenz gegenüber Lösegeldzahlungen: Zwar können sie kurzfristig Schaden begrenzen, sie fördern aber die Geschäfte der Cyberkriminellen.
Eine auf präventive Sicherheitsmaßnahmen ausgerichtete Strategie ist langfristig nachhaltiger und schützt insbesondere die sensiblen Daten von Schülern und Angestellten besser. Auf politischer und rechtlicher Ebene könnte der Vorfall in Kanada und den USA zu strengeren Regulierungen für Softwareanbieter führen. Schulen als kritische Infrastrukturen müssen geschützt werden, da ihre Systeme zunehmend Ziele von Cyberangriffen werden. Die Rolle der Datenschutzbehörden in der Überwachung und Unterstützung der betroffenen Institutionen gewinnt daher an Bedeutung. Für Eltern, Schüler und Mitarbeiter bleibt die Unsicherheit, wie sich solche Vorfälle zukünftig vermeiden lassen und wie effektiv ihre Daten wirklich geschützt werden können.
