Nach Abi-Panne und Datenleck: NRW-Schulministerin Feller unter Druck
Stand: 25.04.2023, 17:25 Uhr
Das Schulministerium in NRW kommt nicht zur Ruhe. Nach den Problemem beim Abitur tauchten auch noch Lehrer-Daten auf einem Testserver auf. IT-Experten gehen von mehreren Tausend Datensätzen aus - deutlich mehr als bisher vom Ministerium beziffert.
Von Christian Wolf
Erst die Panne bei den Abiklausuren und jetzt auch noch eine IT-Schwachstelle: Das NRW-Schulministerium kämpft dieser Tage mit unangenehmen Problemen. Die zuständige Ministerin Dorothee Feller (CDU) steht deshalb unter Druck. So sagte am Dienstag die schulpolitische Sprecherin der FDP, Franziska Müller-Rech:
Die Ministerin müsse für "dieses Desaster" die Verantwortung übernehmen.
Franziska Müller-Rech
Kritisiert wird unter anderem, dass Feller die Schwachstelle im IT-System in der vergangenen Woche nicht erwähnte, als sie im Schulausschuss des Landtages zum Thema Abiklausuren sprach - obwohl die Informationen intern bereits vorlagen. "Während sie also in der Sitzung vollmundig versprach, künftig transparenter und frühzeitiger zu kommunizieren, hielt sie mit einem weiteren Vorfall hinter dem Berg", sagte Müller-Rech.
Ein Sprecher des Schulministeriums verwies am Dienstag auf WDR-Anfrage darauf, dass es im Schulausschuss um die Probleme beim Zentralabitur gegangen sei. Zu der IT-Schwachstelle habe es keinen Zusammenhang gegeben.
Wie viele Datensätze waren einsehbar?
Unklarheit herrscht weiterhin darüber, wie groß das Datenleck tatsächlich war. FDP-Fraktionschef Henning Höne sagte am Dienstag: "Wir fordern eine lückenlose Aufklärung darüber, wie weitreichend der angenommene Datenabfluss ist. Und vor allem, ob zusätzliche personenbezogene Daten betroffen sind."
Laut dem Schulministerium hätten 500 Nutzerdaten von Lehrerinnen und Lehrern ausgelesen werden können. IT-Spezialisten behaupten, dass der Umfang deutlich größer gewesen sei. So ist von mehreren Tausend Datensätzen die Rede.
Abiprüfungen wohl nicht betroffen
Klar ist hingegen, dass es offenbar keinen Zusammenhang zu den Problemen beim Abitur gibt. So heißt es aus dem Schulministerium: "Das Zentralabitur ist von dieser Schwachstelle ausdrücklich nicht betroffen." Auch der Hacker Carl Fabian Lüpke sagt: "Das hier betrifft nach meinen Erkenntnissen nicht die sichere Aus- und Durchführung der Abiturklausuren."
Denn: Die Daten lagen laut dem Schulministerium auf einem Server, mit dem Schulen das Herunterladen von Daten und Programmen testen können - unabhängig von anderen Servern. Teile davon konnten nun von dem Testserver ausgelesen werden.
Eingang des Bundesamts für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte dem WDR am Dienstag mit, dass sie von einem "Sicherheitsforschenden" am vergangenen Mittwoch (19.04.2023) über eine "Fehlkonfiguration" auf dem Server informiert worden seien. Noch am selben Tag seien die zuständigen Stellen in NRW kontaktiert worden. Die Informationen lagen also seit Mitte der Woche in Düsseldorf vor. Das Schulministerium teilte hingegen mit, dass die Schwachstelle "Ende vergangener Woche" entdeckt worden sei.
Zweifel an Digitalisierungskompetenz
Im WDR-Gespräch sagte Hacker Lüpke, dass die Meldung von ihm gekommen sei. Namen, Mailadressen, Anschriften, Telefonnummern und Funktionen seien frei einsehbar gewesen - aber keine Passwörter. Zur Einordnung sagte er: "Das lässt mich nicht an der sicheren Durchführung der Abiturklausuren, aber sehr wohl an der Digitalisierungskompetenz des Ministeriums zweifeln." Immerhin sei die Lücke schnell geschlossen worden. "Die Art und Weise, wie damit umgegangen und wie das fix behoben wurde, spricht für die Leute in NRW."
WDR-Digitalexperte Jörg Schieb
WDR-Digitalexperte Jörg Schieb ordnete am Dienstag ein: "Auch Testsysteme müssen strenge Sicherheitskriterien erfüllen." Wer sich bei solch einem System keine oder wenig Mühe gebe, "darf sich nicht wundern, wenn ihm generelles Misstrauen entgegenschlägt".
Am Dienstag hat Hacker Lüpke dem BSI noch weiteres Material nachgeliefert, um zu zeigen, dass es mehr als 500 Datensätze gewesen seien - "in der Hoffnung, dass sie das noch einmal klären können". Die Behörde bestätigte dem WDR, dass "weitere technische Details und Informationen zur Ausnutzbarkeit der Fehlkonfiguration" zur Verfügung gestellt worden seien. Das Material sei an die zuständige Stelle in NRW übermittelt worden.
Mehr Klarheit darüber, wie viele Datensätze nun tatsächlich frei zugänglich waren, könnte es am Mittwoch gaben. Dann trifft sich im Landtag erneut der Schulausschuss und Ministerin Feller muss Rede und Antwort stehen.