AboAbonnieren

Abi-Panne und DatenlecksNRW-Schulministerium räumt immer mehr Schwachstellen ein – Server abgeschaltet

Lesezeit 3 Minuten
ARCHIV - 21.04.2023, Nordrhein-Westfalen, Düsseldorf: Dorothee Feller (CDU), Schulministerin, sitzt im Schulausschuss des Landtags in Nordrhein-Westfalen. In einer Sondersitzung arbeitet der Schulausschuss des Landtags den misslungenen Start der diesjährigen Abiturprüfungen auf. (Zu dpa: «Schulministerium: Nach IT-Pannen mehr Ärger zu befürchten») Foto: Oliver Berg/dpa +++ dpa-Bildfunk +++

Dorothee Feller (CDU), NRW-Schulministerin, muss weitere IT-Probleme einräumen.

Der Ärger für Schulministerin Dorothee Feller reißt nach der Abitur-Panne in NRW nicht ab.

Das Schulministerium von Nordrhein-Westfalen hat am Montagabend eingeräumt, dass die Probleme mit dem Server der Ministeriumsagentur Qualis noch größer sind als bisher bekannt. Es seien weitere Schwachstellen erkannt worden, heißt es in einer Mitteilung des Ministeriums. Man bezieht sich auf die vorläufigen Ergebnisse eines IT-Expertenteams des Beratungsunternehmens Ernst & Young, das mit der Untersuchung beauftragt wurde.

Die entdeckten weiteren Schwachstellen in der IT-Infrastruktur seien unmittelbar geschlossen worden. „Da zum gegenwärtigen Zeitpunkt nicht ausgeschlossen werden kann, dass es weitere Schwachstellen gibt, hat Schul- und Bildungsministerin Dorothee Feller entschieden, den Server abzuschalten, auf dem sich derzeit mehrere Schwachstellen kumuliert haben“, heißt es als Konsequenz. Die Probleme hätten offenbar unentdeckt bereits seit Jahren bestanden.

Datenleck auf Server des NRW-Schulministeriums größer als angenommen

Qualis wird von Mitarbeitenden sowie von Arbeitsgruppen im Bildungsbereich als gemeinsame Arbeitsplattform und für den Austausch von Dokumenten genutzt. Man geht davon aus, dass „mindestens 16.557 Datensätze ausgelesen wurden, die im Regelfall ausschließlich einen Nutzernamen aus einer Kombination aus Vor- und Zunamen enthalten. Weiter ist nach bisherigen Erkenntnissen davon auszugehen, dass mindestens 3765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen wurden“, heißt es in der Mitteilung von Montag.

Die Einträge konnten über den Nutzernamen hinaus Informationen wie die organisatorische Rolle im Schulsystem, private Telefonnummern und postalische Adressen enthalten. Betroffen sein können auch externe Personen wie Lehrkräfte, die in Arbeitsgruppen der Qualis tätig waren.

Damit bestätigte das Ministerium, was der „Kölner Stadt-Anzeiger“ schon am Freitag berichtet hatte. So war es den Informationen zufolge möglich, ohne große Hürden Nutzerkonten zu übernehmen und Dokumente von Nutzerinnen und Nutzern einzusehen. Personenbezogene Daten unterliegen einem besonderen gesetzlichen Schutz, da mit ihnen – wie ihr Name schon sagt – Rückschlüsse auf Personen möglich sind. Je umfangreicher der Datensatz, desto größer ist die Gefahr, dass Kriminelle ihn für Verbrechen nutzen, indem sie bei Online-Services Identitäten übernehmen.

Abiturklausuren in NRW durch Datenpanne verschoben

Ins Rollen gekommen war der Datenskandal beim Schulministerium, als einen Tag vor den Abiturprüfungen die Aufgaben nicht von den Schulen heruntergeladen werden konnten. Die Prüfungen in den naturwissenschaftlich-technischen Fächern wie Biologie, Chemie, Ernährungslehre, Informatik, Physik sowie Technik hatten von Mittwoch auf Freitag verschoben werden müssen. Der Server war nach Angaben von Ministerin Feller auf Serverüberlastung zurückzuführen gewesen.

In der Folge waren dann aber weitere Schwachstellen des Servers bekannt geworden. Stück für Stück kamen Datenlecks zum Vorschein. Am 26. April musste Feller vor dem Schulausschuss einräumen, dass mehr als 500 Nutzerdatensätze potenziell einsehbar gewesen seien. Das Ministerium beauftragte das Beratungsunternehmen Ernst & Young mit einer umfassenden Untersuchung.

Der IT-Experte und Hacker Carl Fabian Lüpke vom Chaos Computer Club legte dem „Kölner Stadt-Anzeiger“ vergangene Woche offen, dass diese zunächst angegeben Zahlen ganz offenbar zu niedrig waren. Er sprach bereits länger von 3765 Datensätze von Lehrerinnen und Lehrern und anderen Schulbediensteten. Das ist die Zahl, die nun am Montag auch offiziell eingeräumt wurde.

Lüpke sagt, er habe die Schwachstelle im System des Landes NRW bereits am Mittwochabend, 19. April, entdeckt und am Donnerstagvormittag dem Notfallteam CERT des Bundesamts für Sicherheit in der Informationstechnik (BSI) gemeldet. Das BSI bestätigte die Meldung dieser Zeitung. Man habe die Informationen an NRW weitergeleitet. Dennoch sprach Schulministerin Feller am Montag, 24. April, von nur 500 ungeschützten Datensätzen.

Auch zum Inhalt der geleakten Datensätze gab es zunächst unterschiedliche Angaben des IT-Experten Lüpke und des Ministeriums. Auch hier räumte Feller nun inzwischen das weitere Ausmaß der Datenpanne ein. Lüpke hatte vergangene Woche das Ministerium scharf kritisiert: Es sei „höchst unprofessionell, wenn man Transparenz verspricht und die Lücke kleinredet.“


„Wie war’s in der Schule?“ Abonnieren Sie hier unseren Newsletter für Familien und Lehrende in der Kölner Region – immer mittwochs.