LockBit-Hackerangriff auf Schulen in Speyer: 2,5 Terabyte Schülerdaten im Darknet – Was kann man tun?

März 2026 | Cybercrime, Datenschutz

Im Januar 2025 traf ein Ransomware-Angriff der international berüchtigten Hackergruppe LockBit die IT-Infrastruktur von rund 45 Schulen in der Vorderpfalz. Die Angreifer drangen über die Systeme des IT-Dienstleisters Topackt IT Solutions GmbH in Speyer ein, der das Schulnetzwerk „DNSX“ betreibt. Allein in Speyer waren 14 allgemeinbildende Schulen und die Berufsbildende Schule betroffen. Die Folge: verschlüsselte Server, wochenlanger Ausfall digitaler Unterrichtsmittel – und der Diebstahl gewaltiger Datenmengen.

Was genau ist bei dem LockBit Angriff passiert?

In der Nacht zum 15. Januar 2025 verschafften sich die Angreifer Zugang zum zentralen Windows-Server des DNSX-Netzwerks. Über automatisierte Skripte breiteten sie sich auf die angebundenen Schulserver aus. Die Stadtverwaltung Speyer kappte daraufhin sämtliche Verbindungen zu den Schulen und deaktivierte die Schulnetzwerke. Wenige Tage später tauchte ein Erpresserschreiben auf: LockBit behauptete, bis zu drei Terabyte an Daten erbeutet zu haben, und drohte mit deren Veröffentlichung.

Die Stadt informierte Eltern und Schüler mit einem knappen Aushang, in dem ein Datenabfluss zwar „nicht ausgeschlossen“ wurde, der Vorfall aber in auffälliger Weise heruntergespielt wurde. Von der Art und dem Umfang der gestohlenen Daten, den wahrscheinlichen Folgen für Betroffene oder konkreten Schutzmaßnahmen – kein Wort.

Über ein Jahr Ungewissheit – dann der Schock

Erst Anfang März 2026 wurde öffentlich, was viele längst befürchtet hatten: Die gestohlenen Daten wurden im Darknet veröffentlicht. Nach Angaben des Landeskriminalamts Rheinland-Pfalz handelt es sich um rund 1,7 Terabyte Material von schulischen Verwaltungsservern. LockBit bestätigte den Angriff. Auf der Darknet-Seite der Tätergruppe sind die Daten offenbar bereits seit Dezember 2025 zugänglich.

Ein betroffener ehemaliger Schüler des Friedrich-Magnus-Schwerd-Gymnasiums in Speyer, vertreten durch unsere Kanzlei, hat die veröffentlichten Daten gemeinsam mit IT-Forensikern gesichtet. Das Ergebnis ist alarmierend: Allein aus seinem Gymnasium wurden rund 350 Gigabyte an personenbezogenen Daten veröffentlicht – darunter vollständige Stammdaten mit Adressen, Geburtsdaten, Kontaktdaten, Zeugnisse, Fehlzeitenübersichten, Beurteilungen, interne Gremiendokumente, alle Daten, die typischerweise eine Schule von Schülern und deren Eltern erfasst und speichert. Insgesamt sind mehr als 2,5 Terabyte an (personenbezogenen) Daten von Schülern aufgetaucht.

Welche Daten sind von dem LockBit-Angriff in Rheinland-Pfalz betroffen?

Die kompromittierten Datensätze umfassen unter anderem:

  • Namen, Anschriften und Geburtsdaten von Schülerinnen und Schülern
  • E-Mail-Adressen und Telefonnummern (auch der Eltern)
  • Zeugnisse aller Jahrgänge
  • Dokumentation zu Fehlzeiten und Verspätungen
  • Beurteilungen und schulinterne Vermerke
  • Gesundheitsdaten, etwa zu chronischen Krankheiten
  • Informationen über disziplinarische Maßnahmen
  • Interna aus schulischen Gremien

Es handelt sich also nicht nur um einfache Kontaktdaten, sondern um hochsensible Informationen, die teilweise sogar besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO betreffen.

Gravierende Sicherheitsmängel – schon 2023 gemeldet

Besonders brisant: Unser Mandant hatte bereits im Dezember 2023, also mehr als ein Jahr vor dem Angriff, schwerwiegende Sicherheitslücken in der IT-Infrastruktur identifiziert und diese sowohl der Schulleitung als auch den beauftragten IT-Dienstleistern gemeldet. Zu den dokumentierten Mängeln gehörten unter anderem:

  • Administrative Passwörter wurden im Klartext in einer Textdatei auf dem Server gespeichert
  • Zahlreiche Konten verfügten über globale Administratorrechte mit Vollzugriff auf alle Schulen
  • Es wurden veraltete Verschlüsselungsalgorithmen eingesetzt
  • Unsichere Standardpasswörter blieben auch bei privilegierten Konten bestehen
  • Eine saubere Netztrennung zwischen Schüler-, WLAN- und Verwaltungsnetzwerk existierte nicht

Die Reaktion der Verantwortlichen fiel nach Angaben unseres Mandanten erschreckend gleichgültig aus. Die Probleme seien heruntergespielt worden mit Aussagen wie „man braucht ja kriminelle Energie, um so etwas zu tun“ und „es gibt ja nicht viele Schüler, die so was können“. Die strukturellen Schwachstellen blieben im Wesentlichen bestehen.

Datenschutzrechtliche Verstöße

Wir haben im Auftrag unseres Mandanten Beschwerde beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz eingereicht. Gegenstand der Beschwerde sind insbesondere folgende Aspekte:

Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung): Die Stadtverwaltung Speyer als Schulträgerin und der Auftragsverarbeiter haben es versäumt, ein dem Risiko angemessenes Schutzniveau herzustellen – und das, obwohl die konkreten Mängel bekannt waren.

Verstoß gegen Art. 34 DSGVO (Benachrichtigung der Betroffenen): Die Benachrichtigung der Eltern und Schüler war völlig unzureichend. Angesichts des offensichtlich sehr hohen Risikos für die Rechte und Freiheiten der Betroffenen hätte eine detaillierte Information über den Umfang des Vorfalls, die Art der betroffenen Daten und die wahrscheinlichen Folgen erfolgen müssen. Stattdessen erhielten Betroffene lediglich den allgemeinen Hinweis, Passwörter zu ändern.

Mangelhafte Auftragsverarbeitung: Die Zusammenarbeit zwischen der Stadtverwaltung und dem IT-Dienstleister wirft erhebliche Fragen auf. Insbesondere ist zu prüfen, ob die nach Art. 28 DSGVO erforderlichen Kontroll- und Überwachungspflichten eingehalten wurden.

Identitätsdiebstahl und weitere Gefahren für Betroffene

Ein Datenleck dieses Ausmaßes ist keine abstrakte Bedrohung. Für die betroffenen Schüler, ehemaligen Schüler und deren Familien ergeben sich ganz konkrete Risiken:

Identitätsdiebstahl: Wer über Name, Geburtsdatum, Anschrift und Kontaktdaten verfügt, kann diese Informationen für betrügerische Kontoeröffnungen, Vertragsabschlüsse oder andere kriminelle Aktivitäten missbrauchen.

Gezielte Phishing-Angriffe: Die erbeuteten Daten ermöglichen extrem glaubwürdige Phishing-E-Mails. Wenn Angreifer den Namen der Schule, der Lehrer oder interne Vorgänge kennen, lassen sich täuschend echte Nachrichten konstruieren.

Erpressung: Sensible Informationen aus Gesundheitsakten oder disziplinarischen Maßnahmen können für gezielte Erpressungsversuche genutzt werden.

Langzeitfolgen für Minderjährige: Die Daten betreffen in großem Umfang Kinder und Jugendliche. Diese Informationen können sie potenziell über Jahre begleiten und etwa bei späteren Bewerbungen oder in sozialen Zusammenhängen missbraucht werden.

Was Betroffene vom LockBit-Angriff auf Schulen in Rheinland-Pfalz jetzt tun sollten

1. Auskunftsrecht nach Art. 15 DSGVO nutzen

Jeder Betroffene – also Schüler, ehemalige Schüler und Eltern – hat das Recht, von der Stadtverwaltung Speyer als verantwortlicher Stelle Auskunft darüber zu verlangen, welche personenbezogenen Daten konkret betroffen sind. Dieses Auskunftsersuchen sollte schriftlich erfolgen und an die Stadtverwaltung Speyer gerichtet werden. Die Frist zur Beantwortung beträgt einen Monat.

2. Schadensersatzansprüche prüfen lassen

Wer von einem Datenschutzverstoß betroffen ist, kann nach Art. 82 DSGVO Schadensersatz, bzw. Schmerzensgeld, verlangen – und zwar sowohl für den immateriellen Schaden durch den Verlust der Kontrolle über die eigenen Daten. Angesichts der dokumentierten Sicherheitsmängel und der unzureichenden Benachrichtigung bestehen hier nach unserer Einschätzung durchaus Erfolgsaussichten.

3. Schutz vor Phishing-Angriffen – die wichtigsten Tipps

Die Veröffentlichung Ihrer Schuldaten macht Sie zu einem besonders attraktiven Ziel für Phishing-Attacken. Schützen Sie sich mit diesen Maßnahmen:

  • Seien Sie misstrauisch bei unerwarteten E-Mails, auch wenn sie scheinbar von Ihrer Schule, der Stadtverwaltung oder bekannten Unternehmen stammen. Gerade weil die Angreifer über interne Schulinformationen verfügen, können Phishing-Mails besonders überzeugend wirken.
  • Klicken Sie nicht auf Links in verdächtigen E-Mails. Rufen Sie Websites immer direkt über die Ihnen bekannte Adresse im Browser auf.
  • Geben Sie niemals Passwörter oder Zugangsdaten über einen Link in einer E-Mail ein. Keine seriöse Institution fordert Sie per E-Mail zur Eingabe sensibler Daten auf.
  • Ändern Sie umgehend alle Passwörter, die mit Schulkonten in Verbindung stehen. Verwenden Sie für jeden Dienst ein eigenes, starkes Passwort und aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.
  • Informieren Sie Ihre Kinder altersgerecht über die Risiken und sensibilisieren Sie sie für verdächtige Nachrichten.
  • Überwachen Sie Ihre Kontobewegungen und Ihre Schufa-Einträge in den kommenden Monaten besonders aufmerksam

Häufige Fragen (FAQ)

Was ist beim LockBit-Angriff auf Schulen in Speyer passiert?

Im Januar 2025 hat die Hackergruppe LockBit den IT-Dienstleister Topackt angegriffen, der Schulnetzwerke in der Pfalz betreibt. Rund 45 Schulen waren betroffen. Dabei wurden bis zu drei Terabyte an Schülerdaten gestohlen, darunter Zeugnisse, Gesundheitsdaten und Kontaktinformationen. Seit Ende 2025 sind diese Daten im Darknet öffentlich abrufbar.

Welche personenbezogenen Daten wurden bei dem Hackerangriff gestohlen?

Die gestohlenen Daten umfassen Namen, Adressen und Geburtsdaten von Schülern, Zeugnisse, Fehlzeitenübersichten, Gesundheitsinformationen, disziplinarische Vermerke sowie Kontaktdaten der Eltern. Es handelt sich teilweise um besonders schützenswerte Datenkategorien nach Art. 9 DSGVO, etwa Gesundheitsdaten.

Habe ich als betroffener Schüler oder Elternteil Anspruch auf immateriellen Schadensersatz?

Ja, Art. 82 DSGVO gewährt Betroffenen einen Anspruch auf Schadensersatz bei Datenschutzverstößen. Sowohl materielle Schäden als auch der immaterielle Kontrollverlust über die eigenen Daten können geltend gemacht werden. Angesichts der bekannten Sicherheitsmängel und der mangelhaften Benachrichtigung bestehen gute Aussichten auf Entschädigung.

Was kann ich nun nach dem Datenleck?

Beantragen Sie zunächst eine Auskunft nach Art. 15 DSGVO bei der Stadtverwaltung Speyer, um zu erfahren, welche Ihrer Daten betroffen sind. Ändern Sie sofort alle Passwörter mit Schulbezug und aktivieren Sie Zwei-Faktor-Authentifizierung. Überwachen Sie Ihre Konten und Schufa-Einträge. Lassen Sie Ihre Schadensersatzansprüche anwaltlich prüfen.

Wie kann ich mich vor Phishing nach einem Datenleck schützen?

Rechnen Sie mit besonders glaubwürdigen Phishing-E-Mails, weil die Angreifer über schulinterne Informationen verfügen. Klicken Sie nie auf Links in verdächtigen E-Mails und geben Sie keine Zugangsdaten über E-Mail-Links ein. Überprüfen Sie Absenderadressen genau und nutzen Sie einen Passwort-Manager mit starken, einzigartigen Passwörtern für jeden Dienst.

Warum ist das Datenleck für Kinder und Jugendliche besonders gefährlich?

Minderjährige sind besonders verletzlich, weil ihre Identitätsdaten über viele Jahre missbraucht werden können – etwa für betrügerische Kontoeröffnungen. Zudem enthalten die veröffentlichten Daten sensible schulische Informationen wie Beurteilungen oder Gesundheitsdaten, die für Erpressung oder Mobbing missbraucht werden könnten. Der besondere Schutz Minderjähriger ist auch ein Grundprinzip der DSGVO.

Wer ist für den Datenschutzverstoß verantwortlich?

Die datenschutzrechtliche Verantwortung liegt primär bei der Stadtverwaltung Speyer als Schulträgerin und Verantwortliche im Sinne der DSGVO. Daneben steht der IT-Dienstleister Topackt als Auftragsverarbeiter in der Pflicht. Beide haben nach unserer Einschätzung gegen ihre Pflichten aus Art. 32 DSGVO (Datensicherheit) und Art. 34 DSGVO (Benachrichtigung der Betroffenen) verstoßen.

Was ist LockBit und warum ist diese Gruppe so gefährlich?

LockBit ist eine der weltweit aktivsten Ransomware-Gruppen und betreibt ein kriminelles Geschäftsmodell als „Ransomware-as-a-Service“. Trotz internationaler Ermittlungserfolge im Februar 2024 ist die Gruppe weiterhin aktiv. LockBit verschlüsselt nicht nur Daten, sondern stiehlt sie auch und droht mit Veröffentlichung im Darknet, um Lösegeld zu erpressen – eine sogenannte doppelte Erpressung.

Wir unterstützen Sie

Als Kanzlei mit Schwerpunkt auf Cybercrime und IT-Recht vertreten wir bereits Betroffene des Speyerer Schuldaten-Leaks. Wenn Sie Schüler, ehemaliger Schüler oder Elternteil an einer der betroffenen Schulen sind, beraten wir Sie gerne zu Ihren Rechten und Handlungsmöglichkeiten.

Kanzlei Maisch.law Rechtsanwälte Rechtsanwalt Dr. Marc Maisch Spezialist für Cybercrime und IT-Recht