Noch bevor die Schulministerin das Datenleck öffentlich machte, bekam die Schulleiterin aus dem Rhein-Sieg-Kreis einen Anruf.
Datenpanne in NRWReporter informierte Schulleiterin neun Tage früher als das Schulministerium
Von Hendrik Geisler
Lesezeit 2 Minuten
Dorothee Feller (CDU), Bildungsministerin von Nordrhein-Westfalen, am Mittwoch im Landtag.
Copyright: dpa
Eine vom Datenleck im nordrhein-westfälischen Schulministerium betroffene Schulleiterin aus dem Rhein-Sieg-Kreis erfuhr von einem Journalisten vom Abfluss ihrer Daten mehrere Tage, bevor Ministerin Dorothee Feller (CDU) die Sicherheitslücke auf einem Server des Landes öffentlich machte. Erst neun Tage später wurde sie vom Ministerium selbst darüber informiert, dass Hacker an ihre Daten gelangt waren. Das berichtete die Frau am Mittwoch dem „Kölner Stadt-Anzeiger“.
Hacker übernahm das Benutzerkonto von Schulleiterin
„Ich wurde von einem NDR-Reporter telefonisch am Freitag, 21. April, darüber informiert“, sagte die Schulleiterin, die anonym bleiben möchte, auf Anfrage. Erst viel später habe das Ministerium „darüber informiert, dass mein Qualis-Benutzerkonto gehackt wurde“: Am Sonntag, 30. April, sei sie vom Ministerium kontaktiert worden. Damit widerspricht sie dem Land. Auf Anfrage der Redaktion hieß es am Freitag, 28. April, aus dem NRW-Schulministerium: „Die betroffenen Personen wurden durch die Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule bereits informiert und aufgefordert, ihre Passwörter zu ändern.“
Während einer Fragestunde im Düsseldorfer Landtag sagte Schulministerin Feller wiederum, am Montag seien unter anderem Mitarbeiterinnen und Mitarbeiter der Qualis, Lehrerverbände und Bezirksregierungen informiert worden. Ferner sagte die CDU-Politikerin, die Schwachstelle haben mindestens seit 2019 bestanden, womöglich entstand sie auch 2015 oder sogar schon im Jahr der Inbetriebnahme des Servers – 2002.
Das Benutzerkonto der Schulleiterin auf dem Server eines Landes war dafür genutzt worden, das Ausmaß der Schwachstelle abzuschätzen. So hatte ein Hacker einen Domainwechsel ihrer Schule ausgenutzt, die alte E-Mail-Adresse neu registriert, das Passwort zurückgesetzt und das Konto übernommen. Abiturklausuren, das wollte der Hacker nach der Download-Panne in NRW prüfen, konnten so nicht eingesehen werden.
Dass ihre Daten ungeschützt im Internet standen, scheint die Lehrerin nicht zu stören: „Der betreffende Zugang wurde von mir seit 2016 nicht mehr genutzt. Auf der Plattform waren Ausbildungsmaterialien gespeichert. In diesen Materialien war sicherlich auch mein Name gespeichert.“ Als Schulleiterin sei sie eine öffentliche Person, ihr Name sei an vielen Stellen im Netz zu finden.
In vielen der geleakten Datensätze waren neben Namen jedoch auch Kontaktinformationen wie E-Mail-Adressen, aber auch weitergehend personenbezogene Daten wie private und dienstliche Telefonnummern und Anschriften zu finden. Ob dies auch bei der Schulleiterin aus dem Rhein-Sieg-Kreis der Fall ist, ist unklar.
„Wie war’s in der Schule?“ Abonnieren Sie hier unseren Newsletter für Familien und Lehrende in der Kölner Region – immer mittwochs.