Schulverweis wegen "hackens" in der Schule

[techniker]

Hallo,

Ein Freund von mir hat einen Schulverweis wegen "hackens" im Schulnetz bekommen.
Dabei hat er sich nur in gutem Sinne im Schulnetz umgesehen, und wollte/hat keinen
Schaden angerichtet.
Dabei ist ihm sogar noch aufgefallen, dass das Netz nicht nur leicht, sondern teis garnicht gesichert ist (Lehreraccounts ohne Passwort, schlecht geconfter Domaincontroller, und so...).
Das ganze hatte er in seinem eigenen kleinen Forum versehentlich öffentlich ersichtlich gepostet.
Dort tummelten sich auch nur Freunde der selben Schule und z.B. ich.
Er wollte dann die entdeckten Lücken auch dem zuständigen Admin kommunizieren,
fragte im Forum aber nochmal nach, wie er es dem Admin beibringen soll...
Nu hat er an einem Tag dummerweise seinen USB-Stick an einem Tag im PC-Raum der schule liegen lassen, und auf diesem befand sich der Link zum Forum.
So sind die Lehrer auf die Seite mit dem Post gekommen.
Für mich ist dieser Teil bereits fraglich, da es doch eigentlich laut Datenschutz für die Lehrer absolut nicht erlaubt ist den Datenträger auszulesen, geschweige noch die Daten zu verwerten(an andere Lehrer weiterzugeben).
Es wurde ihm also vorgeworfen diese "Straftat" öffentlich gemacht zu haben,
wobei er ja nur die Tatsachen ohne Anleitung/Details ins Forum gestellt hat.
Bis heute hat er seinen Stick noch nicht wieder bekommen.

Er hat einen schriftlichen Verweis von seiner Klassenleherin und Rektorin bekommen, und die Androhung eines Schulverweises bei der kleinsten Angelegenheit.
Er wurde von vielen Lehrern als "Böser Hacker"(solche ungebildete Lehrer) naja, beschimpft ist vielleicht hier falsch aber immerhin wurde er so hingestellt.

Zum Verweistext:

Ich möchte Sie hiermit über die Erteilung einer Ordnungsmaßname gegen Ihren Sohn XXX in Kenntnis setzen.

Entsprechend § 64 des Bgb SchulG, erhält XXX wegen groben Verstoßes gegen die Schul- und Hausordnung auf Antrag der Schulleiterin einen Schriftlichen Verweis durch die Klassenlehrerin.

Zur Begründung:

In unserem Gespräch am XXXX gemeinsam mit ihrem Sohn XXX -informierte ich Sie darüber, dass XXX unerlaubter Weise und mit illegalen Mitteln im Computersystem des XXX Gymnasiums "gearbeitet" hat. Dies stellt einen groben Verstoß gegen die Hausordnung dar und könnte als Straftat angezeigt werden. Aufgrund der Umstände sehe ich von einer Anzeige gegen Ihren Sohn ab.

Sollte XXX zukünftig nochmals in irgend einer Art und Weise gegen die Schul- und Hausordnung verstoßen, sehe ich mich gezwungen, ihn der Schule zu verweisen.

Mit freundlichen Grüßen
Klassenlehererin und Schulleiterin

Ich wollte euch mal fragen, was ihr davon haltet, und ob das alles so rechtens ist, wie das gelaufen ist...

Gruß
tec

 

[bitmuncher]

Da hat er wohl einfach Pech gehabt. Wie würde mein alter Herr jetzt sagen... "Torheit schützt vor Strafe nicht." Der Verweis ist jedenfalls absolut rechtens. Er könnte versuchen mit einem Anwalt dagegen vorzugehen, aber dann bekommt er mit Sicherheit von der Schule eine Anzeige Retour und die wird er kaum gerichtlich abwehren können bei der Beweislage.

 

[techniker]

Ja, das versteh ich schon von der Sachlage, aber
die Lehrer sind meineserachtens unrechtmäßig zu den "Beweisen" gekommen, und
haben sich also eher selber sicher strafbar gemacht...
Ich hoffe ja immer noch, dass es sowas wie Datenschutz immer noch gibt... *und er hofft immer noch*
Außerdem war der einzige Beweis ja der ausgedruckte Forum Thread, und der ist schon längst offline (war bei mir gehostet). Somit wären die Beweise ja eh dahin, da der Leherer oder die Rektorin es auch hätten selber schreiben können und dann drucken.
Somit seh ich von meinem Rechtsverständnis eher die Schulleiterin oder den Leherer der den Stick gefunden hat und den Inhalt unter den Leherern öffentlich gemacht hat als Rechtsbrecher, da dieser sich gegen das Datenschutzgesetz strafbar gemacht hat.

Gruß
tec

 

[bitmuncher]

Ein Lehrer hat das Recht zum Zweck der Identifikation des Eigentümers eines Datenträgers dessen Inhalt einzusehen. Findet er dabei einen Beweis für eine Straftat, ist er sogar verpflichtet diese anzuzeigen. Dein Freund kann also von Glück reden, dass er keine Anzeige bekommen hat. In Zukunft sollte er seinen Stick einfach verschlüsseln.

 

[techniker]

Ah, ok gut zu wissen.
Naja, mit dem Verschlüsseln hab ich ihm auch gesagt..
Nur mal so aus Interesse (ist
eh schon gelaufen) wäre der Ausdruck als Beweis ausreichend?
Wie gesagt, könnte ja auch manipuliert sein(rein rechtlich).

Gruß
tec

 

[Chromatin]

Ich frage mich wo du (und die Lehrerschaft) dort eine Straftat siehst.

Ich wuerde dem Burschen empfehlen mit seinen Eltern einen Anwalt zu konsultieren der sich auf dem gebiet auskennt. Rein schon aus Prinzip.
Und sofern er in dem Forum nicht klipp und klar beschrieben hat wie und was leicht zu knacken ist, hat er ueberhaupt nicht das geringste angestellt.

Im Gegenteil ist eher die Schule dazu verpflichtet solche Zugaenge entsprechend den Moeglichkeiten zu sichern. Schlieszlich liegen in solchen Netzwerken ja Personenbezogene Daten die dritte nichts angehen.

Dreht den Spiesz einfach mal um.

 

[techniker]

@Chromatin:
Genau das war ja auch mein Gedankengang und meine Rede!
So sehe ich das nämlich auch (bin ja kein Rechtskundler), aber es ist schon etwas grotesk,
sollte das rechtlich so korrekt sein.
Er hat ja nich einmal etwas beschädigt, sondern nur Sicherheitslücken aufgespürt.
Ebenfalls kommt die Schule, wie du ja sagst Ihrer Datenschutzpflicht auch nicht nach.
Wo würden wir hinkommen, wenn es nicht immer mal solche Leute gibt, die die Lücken aufdecken...
Nein, sie werden auchnoch bestraft und bedroht.

tec

 

[bitmuncher]

Original von Chromatin
Ich frage mich wo du (und die Lehrerschaft) dort eine Straftat siehst.

Es ist verboten sich unberechtigt Zugang zu Daten oder Systemen zu verschaffen. Siehe Paragraph 202a StGB.

§ 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Auch das Ausnutzen von Sicherheitslücken zählt dazu, da die Daten ja z.B. trotzdem durch Login usw. gesichert sind.

@techniker: Der Ausdruck wäre vermutlich nicht ausreichend, aber als Betreiber des Forums bist du verpflichtet mit den Strafverfolgungsbehörden zusammenzuarbeiten. Laut neuesten Gesetzen bist du als Anbieter einer öffentlichen Daten-Dienstleistung sogar verpflichtet die dafür notwendigen Daten wie Logs usw. für 6 Monate zu archivieren. Wenn du einen Eintrag einfach löschst ohne ihn für solche Fälle zu archivieren, machst du dich selbst strafbar (Verschleierung einer Straftat bzw. Beihilfe zur selbigen).

 

[techniker]

So, hab mich mal beim Anwalt erkundigt.
Nun endlich kommt die Aufklärung:

1. Ich bin als kleiner "privater" Webhoster (unter 1000 User) nicht verpflichtet irgendwelche Kopien der Userverzeichnisse vorzuhalten.

2. Der Ausdruck wäre nicht Beweis genug.

3. Vor Gericht wäre die Schule wohl die gelackmeierte gewesen(verstoß gegen BDSG).
Mein Freund wäre entweder wegen Geringfügigkeit oder mangelnder Beweise freigesprochen worden.

Gruß
tec

 

[Orniflyer]

Alles in allem ist für die Schule jedoch nur der von Bitmucher verwiesene Paragraph 202a StGB interessant.

Er hat sich unerlaubt Zugang zum Schulinternen System verschafft => klarer Grund eines Schulverweises. Wie das ans Licht gekommen ist oder was er dort gemacht oder auch nicht gemacht hat ist sekundär für diese Sachlage.

Natürlich kann er jetzt wie du meinst aufgrund eines Verstoßes gegen das BDSG bezüglich des Datenträgers die Schule anklagen. Bringen wirds ihm trotzdem nichts, zumal es sehr fraglich ist ob er dort Recht bekäme. Auch hier bin ich eher der Meinung das ein liegen gelassener herrenloser USB Stick ohne Besitzerkennzeichnung durchaus von der Schule angeschaut werden darf. Wenn einem dort dann Beweise für einen Einbruch ins Schulnetzwerk entgegenlächeln ... tja, was soll man da machen.

Ich würde einfach aus sowas lernen und die Sache so dabei belassen, alle weiteren Schritte würden nur Ärger bereiten und vermutlich ne ordentliche Menge Geld, Zeit und Stress kosten.

Ein Schulverweis ist ja kein Weltuntergang, die Schule hätte auch ne Anklage machen können und das wäre dann zweifelsfrei das deutlich größere Übel. Eintrag in die Personalakte, Gerichtsverfahren etc. etc.

 

[techniker]

@Orniflyer: Die Sache ist eh abgehakt, hat mich nur eben sehr gestört,
dass aus einer eigentlich nicht bös gemeinten Tat so ein Mist wächst.
Aber mal im Ernst: Was soll denn werden, wenn man irgendwo durch Zufall eine Sicherheitslücke findet? Soll man da einfach die Klappe halten und es bei sich bewenden lassen???? Wo kommen wir denn da hin?
Meiner Ansicht gibt es auf beiden Seiten Fehler, bei Ihm, dass er es nicht gleich dem Admin gesagt hat, und bei der Schule, dass sie so fahrlässig mit dem Netz umgeht.

tec

 

[bitmuncher]

Original von techniker
1. Ich bin als kleiner "privater" Webhoster (unter 1000 User) nicht verpflichtet irgendwelche Kopien der Userverzeichnisse vorzuhalten.

Sorry, aber dein Anwalt sollte sich evtl. mal etwas intensiver mit aktuellem Datenrecht beschäftigen. Sobald fremde Personen auf einer Webpräsenz von dir Inhalte veröffentlichen können, bist du verpflichtet bei Bekanntwerden eines Straftatbestands sämtliche Daten dazu zu sichern, da du damit ein Anbieter einer öffentlichen Daten-Dienstleistung bist. Der Straftatbestand wurde dir bekannt und du hast die Daten dazu gelöscht. Das ist Verschleierung eines Straftatbestands, wenn du zu dem Zeitpunkt noch nicht sicher wusstest, dass es nicht zu einer Anzeige kommt.

@Orniflyer: Ich bin mir sogar sehr sicher, dass er bei einer Anzeige wegen Verstoss gegen das Datenschutzgesetz kein Recht bekommt. Warum habe ich ja bereits erwähnt. Lehrer haben das Recht Gegenstände, die in der Schule liegengelassen wurden, zur Feststellung der Identität des Eigentümers zu untersuchen.

 

[techniker]

Vielleicht habe ich mich etwas unglücklich ausgedrückt, Ich habe die Daten nicht gelöscht, sondern er (der Kunde).
Ich habe erst nachher davon erfahren (nach dem Verweis).

Zum BDSG-Verstoß: Die Schule würde sicherlich wegen dem Verstoß eins aufgedeckelt bekommen, dass sie ihr Netz nicht sicher gemacht haben (das meinte ich eigentlich).

tec

 

[bitmuncher]

Soweit ich weiss gibt es noch keine gesetzlichen Vorgaben darüber wie gut gesichert persönliche Daten abgelegt werden müssen. Infsofern glaube ich nicht, dass jemand wegen einem schlecht gesicherten Netzwerk was auf den Deckel bekommt. Schon garnicht vom Gericht. Da sind eher ein paar kreative Köpfe gefragt, die nicht ihren Ausweis beim Server liegen lassen.

Aber... (ich muss das jetzt sagen) es ist verboten und strafbar!

 

[techniker]

Naja, immerhin sind Private Firmen sowie Öffentliche Einrichtungen verpflichtet jegliche private Daten ausreichend und nach aktuellem Stand der Technik zu schützen.
Somit greift es ja hier schon bei den nicht vorhandenen Lehrer Passwörtern auf dem Schulserver.
Ebenfalls bei dem Schülerspeicherplatz.

tec

 

[Elderan]

Hallo,

Sollte XXX zukünftig nochmals in irgend einer Art und Weise gegen die Schul- und Hausordnung verstoßen, sehe ich mich gezwungen, ihn der Schule zu verweisen.

ist doch halb so schlimm die ganze Sache.

Er hat einen auf den Deckel bekommen, wie ich es aber dem Schreiben entnehmen darf, darf er dort weiter zur Schule gehen. Also einfach seine Schullaufbahn zuende machen und abgehackt ist die Sachen.

Dort irgendwie gegen anzugehen sehe ich gegen eine Abmahnung, mehr ist ein schriftlicher Verweis nicht, als sinnlos. Zeit und Geld Verschwendung, und zur Besserung der Lage hilft es auch nicht (Lehrer bewerten meistens sehr subjektiv, schon scheiße wenn man der Schule eine Klage anhängt).

Statt dessen sollte er das Gespräch suchen, evt. mal mit dem zuständigen Admin reden, ihm zeigen was er genau gemacht hat.
Ich schätze mal, sofern es der Wahrheit entspricht was du hier geschildert hast, wird der Admin ihm dafür dankbar sein, sofern dieser nur etwas Sachverstand hat.
Denn scheinbar hat dein Freund nur normale Windowsdienste ausgenutzt, sich in der Netzwerkumgebung umgeschaut, im Domänenkontroller die Accounts der Domäne angzeigen lassen (was mit dem Explorer u.U. geht) und einfach mal ein Testlogin gemacht. Da von 'Hacker' zu sprechen ist albern, schließlich sind diese ganzen Features in Windows eingebaut, oft sogar direkt mittels Explorer zu erreichen.
Sollte er aber spezielle Tools genutzt haben um z.B. Sicherheitslücken im Server bzw. Client-OS auszunutzen, sollte er soetwas lieber nicht erwähnen.

Könnte mir vorstellen, dass soetwas zur Besserung der Lage hilft.

 

[Executor]

also ich bin kein experte, aber ich glaube, dass sich der fall in einer rechtlichen grauzone befindet -> wenn die accounts ohne pw waren, generell das system nicht entsprechend gesichert war, ist es soweit ich weiß wie bei einem unverschlüsseltem wlan.

Aber nicht desto trotz hat er einen gravirenden fehler gemacht: das er den kram in dieses besagte forum gepostet hat. Das hätte ich an seiner stelle gelassen...aber macht euch ma keinen kopf, bei mir war mal was ähnliches der fall. Wir haben ein jahr lang nen cs 1.6 server in der schule laufen lassen, versteckt in so nem schrank xD

wir haben die tolle "orange box" getunnelt und das alles im wissen (das tunneling sogar im auftrag einer lehrerin). Wenn dein kollege jetzt einfach brav ist, zum rauchen schön vom schulgelände geht etc. passiert da sowieso nix. Die wollen jetzt nur ein exempel statuieren.

so far

Exe

 

[techniker]

Ihr habt wohl alle recht, ->wieder mit Admin anfreunden und alles etwas vorsichtiger angehen

Danke nochmal für die vielen Antworten

Gruß
tec

 

[T1G3R]

ohne tolls = legal

gennerell sind daten erst geschützt wenn der "normale user" also eine x belibiege person die keine weiter ausblidung in dem gebiet hat nicht mehr auf die daten zugreifen kann.
also wenn bei manchen accounts keine passwörter gesetzt sind oder gar kein login erforderlich ist dann kann man davon ausgehen das auch meine kleine schwester auf die daten zugreifen kann => daten nicht gesichert => eigentümer der daten muss davon ausgehen das die daten von anderen personen verwendet verändert oder gelesen werden können.

werden jedoch tools benutzt wird es vor gericht schwer zu argumentieren sein das "der gewöhnliche user" das auch könnte.

das ist wie mit einer offenen tür wenn du hineingehst und hallo sagst und dir die bilder ansiehst die da in der wohnung herumstehen machst du dich nicht strafbar.
ist die tür aber verschlossen und du knackst das schloss ist es natürlich einbruch

mfg
T1G3R

 

[Dreamer]

Kann es sein das du selbst derjenige bist techniker?
Weil das passt irgendwie net so ganz. ^^

Das man sich da einen Kopf macht is ja klar aber das du dann noch Wortgetreu diesen Brief wiedergeben kannst und zum Anwalt läufst und dich informierst wo selbst so eine Beratung/Info schon richtig was an Kohle kostet kommt mir komisch vor. Soll kein Vorwurf sein, ich wollte das nur erwähnt haben. Wenn es so ist wird mir einiges klar.

Die Frage bleibt halt im Raum stehen wie er diese Sicherheitslücken gefunden hat. Weil nur mal so herrausfinden das die Lehreraccis net Passwortgeschützt sind ist schon ein sehr denkwürdiger Zufall. Dann muss er mindestens versucht haben sich da einzuloggen über so einen Nick, anders kann ich mir das grad net vorstellen wenn er wirklich keine Tools benutzt hat und unbedarft ist was Coden angeht.

Auch wäre ich dann sofort zum Admin (falls man das an einer Schule so nennen kann) gegangen mit meinem Wissen und hätte es erst garnet in irgendein Forum gestellt. Somit hätte er sich viel ärger erspart. Aber wer proggt son Bockmist ohne PW Schutz? Das würd mich mal interessieren. Is ja net so das es umständlich wäre die Parameter so zubasteln das du ein PW von mindestens 5 oder mehr Zeichen eingeben musst beim reggen.^^

Die Schule verklagen würd ich garnet erst versuchen, diese sitzt immer am längeren Hebel und wenn sie denjenigen kanntet weil er mal 2 Stunden geschwänzt hat.

@Executor:
Wir haben ein jahr lang nen cs 1.6 server in der schule laufen lassen, versteckt in so nem schrank xD

Das is ja noch besser als 2 Jahre den Datenairbag von jedem Rechner zu deaktivieren und sich die Lehrer fragen wie dauernd neue Games auf die besagten Rechner kommen.^^