Strafanzeige, Daten-Detektive und ein offensichtlich schwerwiegender Verdacht gegen einen ehemaligen Mitarbeiter: Rund um ein städtisches IT-Unternehmen spielt sich gerade ein Krimi ab, von dem niemand weiß, was hinter der bisher verworrenen Handlung steckt. Ein Datenleck? Ein Datenklau aus Rache für einen Rauswurf?Wo die fraglichen Daten abgeblieben sind, ist offenbar unklar. Fest steht, dass die Cyber-Experten der bayerischen Ermittlungsbehörden und die Münchner Kriminalpolizei eingeschaltet sind. Das bestätigte ein Sprecher der zuständigen Generalstaatsanwaltschaft Bamberg.Das Unternehmen, um das es geht, heißt LHM-Services und ist ein Tochterunternehmen der Stadt. Die Mitarbeiter betreuen die IT von mehr als 1000 Münchner Schulen, Kitas und Sportstätten und verwalten 120 000 Notebooks, Rechner und Tablets, so steht es auf der Homepage des Unternehmens. Sie sind zuständig für 185 000 Kitakinder und Schüler sowie für 25 000 Lehrerinnen und Erzieher. Als während der Corona-Pandemie Münchens Schulen digital werden sollten, stattete die LHM-S Schulgebäude und Klassenzimmer mit WLAN und Lehrer-Laptops aus.Die Münchner Abendzeitung hatte in ihrer Montagsausgabe von einem angeblichen großen Datenleck bei dieser städtischen Tochter berichtet. Namen und Adressen von 120 000 Schülerinnen und Schülern und Daten von Lehrerinnen und Lehrern, private Handynummern inklusive, sollen die Server eines städtischen Tochterunternehmens verlassen haben – ohne dass dies bemerkt worden sei. Teile davon sollen der Abendzeitung zufolge über das Darknet angeboten worden sein.Die Zeitung stellt die Frage: Wie sicher sind die Daten, die Münchens Behörden und städtische Schulen über ihre Bürger speichern?Die städtische Tochterfirma weist jeden unsachgemäßen oder leichtsinnigen Umgang mit vertraulichen Daten zurück. Man könne den „geäußerten Verdacht eines angeblichen Datenlecks aktuell nicht bestätigen und keine Angaben zu Umfang, Art und Inhalt der angeblich öffentlich zugänglichen Daten machen“, erklärte Lutz-Steffen Schmidt, Geschäftsführer der LHM-Services in einer Stellungnahme. Er sieht offensichtlich sein Unternehmen als Opfer, möglicherweise eines früheren Mitarbeiters.Vieles spreche dafür, dass die angeblich durchgesickerten Daten nicht frei verfügbar seien, sondern mutmaßlich gezielt Dritten zugespielt wurden – mit dem Ziel einer Veröffentlichung in der Presse. „In diesem Zusammenhang wird auch das potenziell auffällige Download-Verhalten eines gekündigten Ex-Mitarbeiters untersucht, der aufgrund seiner damaligen Aufgabe und Rolle Zugriff auf entsprechende Daten gehabt hätte“, heißt es in der Mitteilung weiter.Die Botschaft dieses Satzes kann man so lesen: Es gibt kein Datenleck, weil ein dazu berechtigter Mitarbeiter im Rahmen seiner Befugnisse die digitalen Informationen abgerufen haben könnte. Dieser Mann schied offenbar nicht freiwillig aus, sondern wurde gekündigt. Das könnte ein potenzielles Motiv für den vermuteten Datendiebstahl sein, den dieser Mann in den Augen der Tochterfirma offenbar dazu benützen könnte, sie in einer Art Revanche für den Rauswurf über die Medien anzuschwärzen.Die LHM-Services erklärte weiter, Strafanzeige gegen unbekannt gestellt und den Bayerischen Landesbeauftragten für den Datenschutz informiert zu haben. Darüber hinaus habe man ein Unternehmen mit der Suche nach den Datensätzen beauftragt, das auf Darknet-Recherchen spezialisiert ist. Bisher zumindest ohne Ergebnis. Die Daten-Detektive hätten keine Hinweise darauf finden können, „dass diesbezügliche Datensätze im Darknet auffindbar und/oder allgemein verfügbar sind“, heißt es der Mitteilung.Die städtischen Behörden sehen keine Verantwortung bei sich. Weder das Referat für Bildung und Sport (RBS), das für den Unterricht zuständig ist, noch das IT-Referat (RIT), in dessen Bereich die betroffene Tochterfirma liegt. Für deren operatives Geschäft und deren interne Abläufe und Prozesse „bestehen keine Verantwortlichkeiten, Weisungsbefugnisse oder Kontrollaufträge seitens des RIT“, erklärte eine Sprecherin. Das RBS hatte nach eigenen Angaben „keine Kenntnis über die beschriebenen Vorgänge, da es sich um LHM-S interne Aktivitäten handelte, die keiner Meldepflicht unterlagen“.