Cyberangriffe auf Schulen: Phishing erkennen — was Schulträger jetzt tun müssen

Inhalt in Kürze

• Schulen sind ein beliebtes Ziel für Phishing und Ransomware — der häufigste Einstieg ist die E-Mail im Kollegium.
• Was Schulträger jetzt tun müssen: das Personal sensibilisieren, mit echten Test-Mails simulieren und im Ernstfall richtig melden.
• Eine meldepflichtige Datenpanne muss nach Art. 33 DSGVO binnen 72 Stunden an die Aufsichtsbehörde gehen — bei Schülerdaten besonders heikel.
• Technik und Schulung ergänzen sich. Eine 100-Prozent-Garantie gibt es nicht, aber das Risiko sinkt deutlich.

Schulen sind ein beliebtes Ziel für Phishing und Ransomware — und der häufigste Einstieg ist die ganz normale E-Mail im Kollegium. Ein Lehrer öffnet eine angebliche Rechnung, eine Sekretärin klickt auf ein Schreiben der „Schulaufsicht”, und schon hat ein Angreifer einen Fuß in der Tür. Was Schulträger jetzt tun müssen, ist überschaubar: sensibilisieren, simulieren, im Ernstfall melden.

Warum Phishing an Schulen so oft funktioniert — und wer dahintersteckt

Eine Schule ist aus Sicht eines Angreifers eine offene Tür mit vielen Klinken. Dutzende Lehrkräfte, Sekretariat, Hausmeister, Verwaltung — viele Konten, geteilte Geräte im Lehrerzimmer, ständig wechselnde Vertretungen und chronischer Zeitdruck. Dazu liegen besonders sensible Daten im Haus: Noten, Förderbedarf, Gesundheitsangaben, Adressen von Minderjährigen.

Dass das kein Randthema ist, zeigen die Zahlen. Laut Check Point Research war der Bildungssektor 2025 weltweit die am stärksten angegriffene Branche — mit rund 4.356 Angriffsversuchen pro Woche und Einrichtung, ein Plus von 41 Prozent gegenüber dem Vorjahr. Der BSI-Lagebericht 2025 zählt allein 950 beim BKA angezeigte Ransomware-Angriffe, von denen 72 Prozent mit einem zusätzlichen Datenleck verbunden waren.

Wie real die Folgen sind, zeigt der LockBit-Angriff auf einen IT-Dienstleister in der Pfalz: Daten von rund 45 Schulen wurden gestohlen und landeten im Darknet — Schüler- und Lehrkräftedaten bis hin zu Zeugnissen und Gesundheitsangaben.

Wie Phishing an Schulen konkret aussieht

Angriffe auf Schulen sind selten plump. Die Mails sind auf den Schulalltag zugeschnitten:

• Gefälschte Schulaufsicht oder Ministerium: „Bitte bestätigen Sie bis morgen Ihre Zugangsdaten zum Schulportal.” Autorität plus Frist — eine gefährliche Mischung.
• Eltern- oder Schüler-Mails: Eine angebliche Krankmeldung mit Anhang, eine „Beschwerde” als Word-Datei. Wer im Sekretariat sitzt, öffnet so etwas reflexartig.
• Rechnungen und Lieferanten: Eine täuschend echte Rechnung des Schulbuchverlags oder der IT-Firma, nur die Kontonummer ist ausgetauscht.

Lesetipp: Dieses Thema vertieft unser kostenloses E-Book „CYBER-SICHER — Der IT-Sicherheits-Guide für den deutschen Mittelstand”. Jetzt herunterladen →

Das Tückische: Eine Mail kann echt aussehen und trotzdem ein Angriff sein. Genau deshalb reicht Technik allein nicht — der Mensch am Bildschirm muss kurz innehalten.

Phishing-Simulation: die wirksamste Awareness-Methode

Vorträge über Phishing verpuffen. Was bleibt, ist die eigene Erfahrung — der Moment, in dem man selbst beinahe geklickt hätte. Eine echte Phishing-Simulation erzeugt genau diesen Moment, ohne Schaden. So läuft sie ab:

1. Test-Mail verschicken: Eine harmlose, aber realistische Phishing-Mail geht kontrolliert an das gesamte Kollegium — abgestimmt auf den Schulalltag (Schulportal, Vertretungsplan, Elternbrief).
2. Klick messen: Wer klickt, landet auf einer neutralen Hinweisseite statt bei Angreifern. Sie sehen anonymisiert die Klickrate — ohne einzelne Lehrkräfte an den Pranger zu stellen.
3. Just-in-Time nachschulen: Direkt nach dem Klick erscheint eine kurze Lerneinheit: Woran war diese Mail zu erkennen? Im Moment des Fehlers lernt der Mensch am besten.
4. Wiederholen: Nach einigen Wochen folgt die nächste Welle mit neuem Köder. Die Klickrate sinkt messbar — und bleibt unten, weil der Reflex sitzt.

Genau dieses Verfahren steckt in Hugo Learn: KI-gestützte Cyber- und Datenschutz-Unterweisungen plus integrierte Phishing-Simulation, für jede Schule getrennt dokumentiert. Wie sich das auf eine ganze Schulträger-Struktur übertragen lässt, zeigt unsere Unterweisungssoftware für Schulen.

Aus der Praxis

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.

Nils OehmichenDatenschutzberater bei frag.hugo

Was Nils hier beschreibt, ist der Grund, warum „einfach aufpassen” nicht genügt. Wenn selbst eine echte Absenderadresse keine Garantie mehr ist, braucht es geübte Reflexe statt guter Vorsätze. An einer Schule mit 60 Lehrkräften reicht ein einziger unbedachter Klick.

Der Ernstfall: richtig reagieren statt vertuschen

Trotz aller Vorsicht kann es passieren. Dann zählt jede Stunde. Eine meldepflichtige Datenpanne muss nach Art. 33 DSGVO binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden — und bei Schülerdaten ist das besonders heikel, weil meist Daten Minderjähriger betroffen sind.

Ein weiterer Punkt, der oft übersehen wird: Viele Cyberversicherungen verlangen inzwischen einen Nachweis über regelmäßige Awareness-Maßnahmen. Ohne dokumentierte Schulung kann im Schadensfall die Leistung gekürzt werden. Eine sauber protokollierte Phishing-Simulation ist hier doppelt wertvoll.

Wie gut Ihre Schule aktuell aufgestellt ist, lässt sich in wenigen Minuten prüfen — der kostenlose Hugo Check testet Ihre Website auf typische DSGVO- und Sicherheitslücken.

Fazit: Sensibilisieren, simulieren, melden

Cyberangriffe auf Schulen werden nicht weniger. Aber Schulträger sind ihnen nicht ausgeliefert. Die drei Hebel sind klar: das Kollegium für Phishing sensibilisieren, mit echten Simulationen trainieren und für den Ernstfall einen Meldeweg parat haben. Technik und Schulung greifen ineinander — eine vollständige Garantie gibt es nicht, aber das Risiko sinkt erheblich, wenn der Mensch am Bildschirm mitdenkt.

Häufige Fragen (FAQ)

Warum sind Schulen ein beliebtes Ziel für Cyberangriffe?

Schulen haben viele Konten, geteilte Geräte, wechselndes Personal und sensible Schülerdaten — bei oft knapper IT-Betreuung. Das macht sie für Phishing und Ransomware attraktiv. Laut Check Point Research war Bildung 2025 weltweit die am stärksten angegriffene Branche.

Wie erkennen Lehrkräfte eine Phishing-Mail an der Schule?

Achten Sie auf Druck und Eile, ungewöhnliche Absenderadressen, Aufforderungen zur Anmeldung über einen Link sowie angebliche Rechnungen oder Schreiben der Schulaufsicht. Im Zweifel nicht klicken, sondern über einen bekannten Kanal nachfragen.

Was ist eine Phishing-Simulation und bringt sie etwas?

Bei einer Phishing-Simulation verschicken Sie kontrollierte Test-Mails an das Kollegium, messen die Klickrate und schulen direkt im Moment des Klicks nach. Wiederholt eingesetzt sinkt die Klickrate messbar — es ist die wirksamste Awareness-Methode.

Muss eine Schule eine Datenpanne melden?

Ja. Nach Art. 33 DSGVO ist eine meldepflichtige Datenpanne binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Bei betroffenen Schülerdaten ist das besonders heikel, weil häufig Daten Minderjähriger betroffen sind.

Wer ist für die IT-Sicherheit an Schulen verantwortlich?

Die Verantwortung teilt sich: Der Schulträger stellt in der Regel Infrastruktur und Geräte, die Schule organisiert den Betrieb. Beim Datenschutz und bei Awareness-Maßnahmen ziehen beide an einem Strang — klare Zuständigkeiten gehören vorab geregelt.