Die Webseiten der städtischen Jenaer Schulen waren seit Anfang Dezember nicht mehr erreichbar und zwar ohne größere Information. Erst nach einigem Nachfragen räumte man ein Problem ein (was unschwer zu erkennen war) und schaltete eine allgemeine Seite mit den Kontaktdaten der jeweiligen Schulen.
Gegenüber der OTZ wurde auf Nachfrage am 20. Dezember erklärt, dass es sich um eine Havarie des Server gehandelt habe. Von einem Angriff auf den Server und eventuelle Angriffe auf die Besucher der verseuchten Webseiten war nicht die Rede. Im Netz wurde da bereits darauf hingewiesen, dass die Symptome nicht zu einer einfachen Havarie passten.
Mittlerweile wurde eingeräumt, dass es sich doch um einen Angriff gehandelt habe und das der zentrale Server betroffen war. Auf der Webseite der Stadt heißt es dazu:
Der zentrale Server, auf dem sämtliche Homepages aller Jenaer Schulen mit deren Anwendungen abgelegt sind, wurde vor ca. drei Monaten gehackt und mit Schadsoftware infiziert. Von dem Server wurde dadurch eine Vielzahl von Spam-E-Mails versendet, so dass bereits Dritte auf das Problem aufmerksam wurden und die Stadt benachrichtigten.
Tatsächlich war das Problem aber noch gravierender. Die Homepages der städtischen Jenaer Schulen wurden teilweise so modifiziert, dass sie auf Malware- und Spam-Seiten weiterleiteten. Wer die Webseite einer Schule aufgerufen hatte, wurde daher auf eine fremde Seite weiter geleitet, die möglicherweise auch den eigenen Rechner infiziert hat. Auf Twitter heißt es dazu bereits am 10. Dezember:
Ganz konkret sollte daher jeder, der eine der betroffenen Jenaer Schulen besucht hat, prüfen, ob eventuell Malware installiert wurde (mit etwas Glück hat das der eigene Virenscanner unterbunden). Das wäre ein Hinweis, der dringend in die Pressemitteilung aufgenommen werden sollte. Gleiches gilt für die Empfänger der Spam-Mails die hoffentlich die Anhänge in den Mails nicht geöffnet haben.
Zu klären wäre auch, ob durch den Angriff die Zugriffsdaten der Nutzer der jeweiligen Homepages der Schulen in fremde Hände geraten sind. Man muss zumindest in Betracht ziehen, dass auch Zugriff auf die Datenbank möglich war und so Login und (verschlüsselte) Passwörter abgegriffen werden konnten. Auch hier sollten die Betroffenen schnellstmöglich informiert werden.
An sich hätte das auch alles bereits viel schneller erfolgen müssen. Die Webseiten wurde Mitte Dezember offline genommen und daher wußte man vor knapp einem Monat bereits, dass es ein Problem gab und eine Kompromittierung vorlag. Betroffene hätten also mit einer rechtzeitigen Information einen Monat mehr Zeit gehabt, ihre Systeme zu prüfen und Passwörter und Zugangsdaten zu ändern. Extrem ärgerlich ist, dass nach wie vor der Hinweis auf die Angriffe auf Nutzersysteme fehlen und das man so den Betroffenen die Chance nimmt zu reagieren.
Mittlerweile hat die DSB der Stadt Jena aauf meine Anfrage reagiert. Im Dokument ist zumindest der Weg des Angriffs skizziert: https://fragdenstaat.de/a/55738