AboAbonnieren

Leck in DatenbankWas wir über die Panne in NRW wissen – und wozu das Schulministerium schweigt

Lesezeit 4 Minuten
Schul- und Bildungsministerin Dorothee Feller besucht eine Schule. Sie schaut sich in einer Schulklasse neue Schulbücher an.

Dorothee Feller ganz analog mit Schulbüchern. In ihrem Schul- und Bildungsministerium gab es erst IT-Probleme mit dem Abitur, dann mit einem Datenleck.

Das Datenleck im NRW-Schulministerium hat größere Ausmaße als die Ministerin zunächst wusste. Welche Gruppe betroffen ist, scheint bereits klar zu sein.

Erst hieß es, 500 Datensätze seien bei einem Leck auf einem Server des Schulministeriums abrufbar gewesen, dann offenbarte Ministerin Dorothee Feller (CDU): Es sind mehr als 500. Die wichtigsten Fragen bleiben aber offen. Eine Suche nach Antworten.

Welche Daten waren offen zugänglich?

Christoph Gusovius, Leiter der Zentralabteilung im Schulministerium, berichtete im Schulausschuss von einer „Lücke in der Konfiguration der Benutzerverwaltung“ auf einem Server der Qualitäts- und Unterstützungsagentur des Schulministeriums, kurz: Qualis. Auf diesem Server, über den auch der Test-Download der Abiturklausuren lief, tauschen sich Nutzerinnen und Nutzer auch über Unterrichtsmaterialien aus oder verbreiten dort Dokumente von Arbeitsgruppen im Rahmen von Fortbildungen.

Gusovius sagt, „mit technischem Sachverstand“ sei es möglich gewesen, in die Benutzerverwaltung zu gelangen und Benutzerdaten einzusehen, „die durch die Nutzer bei der Registrierung angegeben worden sind“. Als obligatorisch führt er Vor- und Nachname sowie die E-Mail-Adresse auf. Schulministerin Feller nannte zuvor „personenbezogene Daten wie zum Beispiel Benutzernamen und Mailadressen“. Personenbezogene Daten unterliegen einem besonderen gesetzlichen Schutz, da sie, wie ihr Name sagt, Rückschlüsse auf bestimmte Personen zulassen.

Die IT-Spezialistin und Hackerin Lilith Wittmann spricht davon, dass neben Namen und E-Mails auch Jobs einsehbar gewesen seien. Die Daten hätten sogar die Möglichkeit von Account-Übernahmen gegeben.

Das Ministerium gibt sich am Donnerstag bedeckt, verweist darauf, dass IT-Experten hinzugezogen worden seien. Welche Daten für Fremde einsehbar waren? „Wir wollen jetzt nicht spekulieren. Wir brauchen erst verlässliche Ergebnisse“, sagt ein Sprecher der Schulministerin dem „Kölner Stadt-Anzeiger“.

Um wie viele Datensätze geht es?

Erst hieß es im Ministerium: 500, dann mehr als 500. Aber in welcher Größenordnung Daten wirklich in Gefahr waren, abgegriffen zu werden? Das Ministerium verweist auf die Untersuchung. Carl Fabian Lüpke vom Chaos Computer Club (CCC) meldete vergangene Woche Donnerstag dem Bundesamt für Sicherheit in der Informationstechnik, dass 3765 Datensätze nicht geschützt sind. Von dort ging die Meldung an die Behörden in NRW, Ministerin Feller erfuhr von dem Leck, informierte jedoch erst am Dienstag die Öffentlichkeit darüber. Hackerin Lillith Wittmann behauptet sogar, dass mehr als 16.000 Benutzerkonten einsehbar gewesen seien.

Der Sprecher des Schulministeriums äußerte sich gegenüber der Redaktion nicht dazu, ob die Vorwürfe der Expertin und des Experten stimmen.

Wessen Daten lagen ungeschützt auf dem Server?

Genau kann das nicht beantwortet werden. Da das Programm vor allem aber zum Austausch zwischen Lehrkräften genutzt wird, ist davon auszugehen, dass sie auch in erster Linie vom Datenleck betroffen sind. Davon geht auch Sabine Mistler, Vorsitzende des Philologenverbands NRW, im Gespräch mit dem „Kölner Stadt-Anzeiger“ aus. Viele Lehrerinnen und Lehrer hätten aktuell jedoch keine Zeit, sich damit auseinanderzusetzen. „Der Fokus liegt gerade auf dem Abitur“, sagt sie.

„Wir erwarten lückenlose, transparente Aufklärung“, so Mistler. „Es geht darum, auch das Vertrauen wieder aufzubauen und zu verhindern, dass so etwas wieder passiert.“ Die Lehrkräfte wollten sich auf Unterricht und Schule konzentrieren und nicht auf Probleme des Datenschutzes. Sie erwarte, dass Lehrerinnen und Lehrer größtmöglich aufgeklärt werden und Sicherheit haben, wenn zum Beispiel Künstliche-Intelligenz-Software und digitale Fortbildungen eingesetzt werden. „Nicht selten wird hier mit personenbezogenen Daten jongliert.“

Wer ist für die Lücke verantwortlich – und seit wann besteht sie?

Beide Fragen sind Gegenstand der IT-Ermittlungen. Fest steht, dass kein externer Dienstleister die Server betreibt, sie sind in der Hand der Landesagentur Qualis. Das bestätigte der Ministeriumssprecher. Im Fall der Download-Panne, die zu verschobenen Abiturprüfungen führte, geht die Behörde weiter davon aus, dass der Serverfehler beim Unternehmen Gonicus GmbH lag, prüft dies jedoch erneut.

Wie verhält sich die Schulministerin?

Dorothee Feller hat am Mittwochabend eine E-Mail an alle Schulen in NRW geschickt, in dem sie sich für die Querelen rund um die verschobenen Abiklausuren entschuldigt. „Ich bedaure sehr, dass wir eine Verschiebung letztlich nicht vermeiden konnten und entschuldige mich ausdrücklich dafür, dass wir in unserer Kommunikation die von uns gesetzten Zeitfenster nicht durchgängig einhalten konnten.“ Das Ministerium hatte die Schulen in mehreren Nachrichten zunächst hingehalten und dann eine endgültige Entscheidung für 19.30 Uhr angekündigt – die Absage der Prüfungen kam letztlich erst rund eine Stunde später.

„Leider konnten wir Sie mit unseren E-Mails bis zuletzt lediglich vertrösten und um Geduld bitten“, so die Ministerin in ihrem Schreiben. „Mir ist sehr bewusst, wie sehr Sie als Lehrkräfte mit Ihren Schülerinnen und Schülern mitgefiebert haben und unter welcher Anspannung auch Sie standen.“


„Wie war’s in der Schule?“ Abonnieren Sie hier unseren Newsletter für Familien und Lehrende in der Kölner Region – immer mittwochs.