Sehr
[geschwärzt],
gerne beantworten wir Ihre Fragen, soweit dies möglich ist. Wir weisen aber darauf hin, dass diese Auskünfte freiwillig sind. Die Informationsfreiheitssatzung der Stadt Nürnberg erteilt dieses Recht eigentlich nur, wie in §1 Abs. 1 beschrieben, Einwohnerinnen und Einwohnern der Stadt.
Vorab eine generelle Bemerkung, dass es zwei unterschiedliche Einrichtungen gibt, die getrennt voneinander betrachtet werden müssen.
Auf der einen Seite die Stadtverwaltung Nürnberg, auf der anderen Seite die Grund- und Mittelschulen, die in der Verantwortung des Freistaats Bayern stehen. Für diese Schulen ist die Stadt Nürnberg nur Sachaufwandsträger, was im kommunalen Rechnungswesen bedeutet, dass sie sich um Sach-Aufwendungen (und damit nicht um das Personal) kümmert. Im konkreten Fall kümmert sie sich unter anderem um die IT-Ausstattung dieser Schulen.
Die Netze von Stadtverwaltung und Schulen sind getrennt.
Außerdem gibt es in jeder Schule jeweils zwei Datennetze, ein Verwaltungsnetz (für Verwaltungsangelegenheiten) und ein pädagogisches Netz (für die pädagogische Arbeit mit den Schülerinnen und Schülern). Das Verwaltungsnetz besteht im Schnitt aus ungefähr 3 PCs.
Zu Ihren Fragen:
"Welche städtischen Einrichtungen waren oder sind betroffen" und "Wie viele Netzwerk Geräte waren oder sind betroffen"
Konkret betroffen waren insgesamt 5 staatliche Schulen, die Grundschulen an der Viatisstraße, an der Billrothstraße sowie die Thusneldaschule, die Konrad-Groß-Schule und die Grund- und Mittelschule in St.Leonhard.
Es wurde bei jeweils das Verwaltungsnetz infiziert (also 5 x 3 PCs).
Die pädagogischen Netze sowie die Stadtverwaltung selbst wurden nicht infiziert.
"Welche Kategorien von Daten waren oder sind kompromittiert oder wurden ggf. abgegriffen"
Da die Schulen nicht von der Stadtverwaltung betrieben werden, können wir hierzu keine Aussage treffen. Hierzu kann Ihnen am ehesten das staatliche Schulamt des Freistaats (
https://www.schulamt.info) Auskunft geben.
"Wann und von welcher Einrichtung breitete sich der Befall aus"
Von welcher der fünf betroffenen Schulen der Befall ausging lässt sich rückblickend nicht mehr in Erfahrung bringen. Auf eine entsprechende Untersuchung haben wir verzichtet, da dies relativ teuer und zeitaufwändig gewesen wäre und der Erkenntnisgewinn nicht im Verhältnis zum Aufwand stehen würde.
"Wann wurde der Befall bemerkt" und "Wann und welche Maßnahmen wurden eingeleitet"
Im Anhang finden Sie eine kurze Zusammenfassung, die wir an die Presse herausgegeben haben. Darauf sind der zeitliche Ablauf, sowie die durchgeführten Handlungen zusammengefasst.
Haben Sie bitte Verständnis, dass wir über technische Maßnahmen keine Auskunft geben können. Diese sind Betriebsgeheimnisse im Sinne des § 6 Abs. 2 Ziff. 3 unserer Informationsfreiheitssatzung. Würden wir unsere technischen Schutzmaßnahmen in der Öffentlichkeit bekannt geben, wäre es für potentielle Angreifer leichter möglich entsprechende Strategien zu deren Umgehung zu entwickeln.
"Wann und welche Behörden wurden bezüglich des Befalls informiert"
Von uns wurden die Polizei und das Landesamt für Sicherheit in der Informationstechnik informiert. Eine Meldung an die Aufsichtsbehörde für den Datenschutz wurde vom staatlichen Schulamt vorgenommen.
"Gibt es eine Einschätzung des dadurch entstandenen Schadens und wie hoch ist dieser"
In den betroffenen Schulen wäre für das Jahr 2020 ohnehin ein Hardwaretausch angestanden. Es wurde entscheiden, diesen vorzuziehen, die Arbeiten hierzu sind gerade im Gange. Ein monetärer Schaden im Schulbereich ist somit nicht entstanden.
Die Stadtverwaltung war, wie oben bereits beschrieben, ja nicht betroffen.
Mit freundlichen Grüßen
[geschwärzt]
[geschwärzt]
Stadt Nürnberg
Referat für Finanzen, Personal, IT und Organisation
Informationssicherheit
Theresienstraße 9
90403 Nürnberg
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt] [#[geschwärzt]] <[geschwärzt]>
[geschwärzt]
[geschwärzt] <[geschwärzt]>
[geschwärzt] [#[geschwärzt]]
[geschwärzt]
[geschwärzt],
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt] ([geschwärzt])[geschwärzt]
[geschwärzt]
[geschwärzt], [geschwärzt], [geschwärzt]
[geschwärzt], [geschwärzt], [geschwärzt]
[geschwärzt], [geschwärzt], [geschwärzt]
[geschwärzt], [geschwärzt], [geschwärzt]
[geschwärzt] ([geschwärzt]) [geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt]
[geschwärzt], [geschwärzt], [geschwärzt]
[geschwärzt]