IT-Schwachstellen: NRW-Schulministerium wusste wohl seit Monaten davon

Stand: 05.06.2023, 20:27 Uhr

Die Daten tausender Lehrkräfte waren online einsehbar. Laut WDR-Recherchen war das Schulministerium deutlich früher über die IT-Probleme informiert, als bislang angegeben. Das wirft viele Fragen auf.

Von Martina Koch, Sabine Tenta

Luftaufnahme der QUA-LiS in Soest | Bildquelle: WDR

Es ist ein großes Paket, welches das Landesinstitut für Schule (QUA-LiS) Lehrkräften zur Verfügung stellt: Lehrpläne, Fortbildungskonzepte und Prüfungsaufgaben gehören dazu. Alles kann einfach online heruntergeladen werden. Bis zur großen Panne: Tausende Datensätze, die eigentlich nur intern einsehbar sein sollen, lagen plötzlich offen im Netz - darunter Adressen, Telefonnummern und Emailadressen der Lehrkräfte.

Das Datenleck hatte ein Hacker den Behörden mitgeteilt. Das Schulministerium, zu dem QUA-LiS gehört, ließ den Server abschalten. Externe IT-Fachleute wurden mit der Fehleranalyse beauftragt.

Ministerium bereits im September informiert

Ein überraschende Panne? Wohl eher nicht - zeigen WDR-Recherchen. Denn QUA-LiS wusste um mögliche IT-Probleme. Der Internetauftritt sei in den letzten neun Jahren komplett in eigener Verantwortung entwickelt worden und entspräche nicht mehr heutigen Anforderungen an Datenschutz. So steht es in einem internen Schreiben an das Schulministerium, dass dem WDR exklusiv vorliegt. Bereits seit 2021 gebe es keine regelmäßigen Updates und Sicherheitspatches mehr. Weiter heißt es in dem Schreiben:

 „Daher ist es dringend erforderlich, das dynamisch gewachsene Internet-Angebot der QUA-LiS in ein rechtskonformes, technisch sicheres und zukunftsfähiges, den Anforderungen an Datensicherheit und Barrierefreiheit genügendes sowie zielgruppengerechtes Angebot zu transferieren.“ internes Schreiben an das Schulministerium

QUA-LiS forderte vor Monaten externe Hilfe

Im Landesinstitut arbeitet vor allem pädagogisches Personal, also Lehrkräfte. Deshalb stünde für ein neues Internetangebot die benötigte Fachexpertise nicht zur Verfügung, schrieb QUA-LiS dem Schulministerium als zuständige Aufsichtsbehörde. Die Einbeziehung einer externen Agentur sei erforderlich. Doch passiert ist das offensichtlich nicht.

Datenleck und Abipanne - Die IT-Probleme des Schulministeriums WDR RheinBlick 05.05.2023 28:04 Min. Verfügbar bis 03.05.2029 WDR Online

Download

Die Schulministerin hatte im Landtag mehrfach erklärt, erst jetzt von dieser Schwachstelle erfahren zu haben. "Wir haben vor knapp zwei Wochen erstmals Informationen darüber erhalten", sagte sie am 3. Mai 2023 in der Fragestunde des Plenums. Ist der Brief nie bei ihr angekommen?

Schreiben ja, Problemanzeige nein

Schulministerin Dorothee Feller während der Fragestunde des Plenums am 03.05.2023 | Bildquelle: WDR

Ein Interview gibt Dorothee Feller dem WDR in dieser Woche nicht. Schriftlich bestätigte ihr Haus aber am Sonntagabend: "Interne Recherchen haben jetzt ergeben, dass ein solches Schreiben vorliegt." Dieses sei jedoch "keine akute Problemanzeige" gewesen. Es "diente ausschließlich dazu, Haushaltsmittel für eine geordnete Erneuerung des Webauftritts der QUA-LiS anzumelden und zu begründen", hieß es aus dem Schulministerium.

Und weiter: "Weder bei dem Besuch der QUA-LiS durch die Hausleitung im August 2022 noch in Einzelgesprächen zwischen der Leitung und der QUA-LiS sind akute IT-Probleme seitens der QUA-LiS thematisiert worden."

Ministerium: Keine Verbindung zu Leck aus dem April

Am Montagabend stellte das Schulministerium auf WDR-Anfrage außerdem klar, dass die bekannt gewordene mögliche Sicherheitslücke nichts mit dem großen Datenleck zu tun habe, das im April rund um das Zentralabitur für Aufsehen gesorgt hatte. Deshalb habe das QUA-LiS-Schreiben "keine inhaltlichen oder zeitlichen Beziehungen zu der laufenden Aufarbeitung der IT-Schwachstellen".

Weiteres QUA-LiS-Schreiben zur IT-Sicherheit

Dem WDR liegt inzwischen ein weiteres QUA-LiS-Schreiben vor, vom November 2022. Auch darin steht, dass die Datensicherheit überarbeitet werden muss: Es ging ausgerechnet an die Abteilung im Schulministerium, die auch für IT-Sicherheit zuständig ist.

Sicherheitsexperte vermisst simulierte Hackerattacke

Der Sicherheitsexperte Sebastian Schreiber, Geschäftsführer der Syss GmbH, vermisst jedoch in der QUA-LiS-Kommunikation mit dem Ministerium die nötige Dringlichkeit. Das hätte man "richtig alarmierend formulieren müssen, da hätte drinstehen müssen: Wenn wir nicht handeln, dann werden wir geknackt, dann werden vertrauliche Daten ausgespäht", so Schreiber. Auch sei es sinnvoll gewesen, über eine simulierte Hackerattacke die Sicherheitslücken praktisch zu checken und nicht nur theoretisch zu warnen.

Sogenannte regelmäßige "Penetrationstests" der Sicherheitssysteme, wie sie Schreiber und andere Experten fordern, haben laut Schulministerium in der Vergangenheit nicht stattgefunden. Zukünftig seien diese "regelmäßig" vorgesehen, heißt es auf WDR-Anfrage.

Opposition fordert Aufklärung

Für Jochen Ott, Chef der SPD-Landtagsfraktion, ist das interne Schreiben "ein Hammer". Wenn eine Behörde im Schulministerium um Unterstützung bittet und auf eine Schwachstelle hinweist, müsse die natürlich sofort behoben werden, sagte er, bevor die Stellungnahme des Ministeriums vorlag. Dann könne man Monate später nicht so tun, als ob man von allem nichts gewusst hätte. "Das muss die Ministerin jetzt dringend aufklären", so Ott.

Die schulpolitische Sprecherin der SPD, Dilek Engin, teilte am Montag mit, dass ihre Fraktion eine "Aktuelle Viertelstunde" für den Schulausschuss am kommenden Mittwoch beantragt hat. Ministerin Feller müsse erklären, warum sie das Parlament "nicht vollumfänglich über die Gesamtlage informiert" habe. "Wir haben jedenfalls noch sehr viele Fragen", so Engin.

Die hat auch die FDP. Die Fraktion hat am Montag eine "dringliche Frage" im Landtag eingereicht: "Wir wollen wissen, wie das Schulministerium auf den schriftlichen Hilferuf der QUA-LiS im September 2022 reagiert hat", so die schulpolitische Sprecherin, Franziska Müller-Rech. Sie erwartet eine Antwort im Schulausschuss. Es stehe der Verdacht im Raum, "dass die Ministerin das Parlament nicht wahrheitsgemäß informiert hat".

FDP: Feller muss Verantwortung übernehmen

Bei der FDP ist die Sorge groß, dass Ministerin Feller versuchen könnte, die Schuld für die Probleme allein dem Landesinstitut QUA-LiS in die Schuhe zu schieben, es zum Sündenbock zu machen. Für die schulpolitische Sprecherin Franziska Müller-Rech ist aber klar: "Die politische und auch die organisatorische Verantwortung liegt im Schulministerium und liegt bei Dorothee Feller."

Die Schulministerin selbst will die Abgeordneten im Schulausschuss am Mittwoch (07.06.2023) über die Fehleranalyse und die geplanten Konsequenzen informieren.

Darüber berichteten wir auch in der Sendung "Westpol" im WDR-Fernsehen am 4.6.2023.