Wenige Tage nach der Abitur-Technikpanne in Nordrhein-Westfalen ist dem Schulministerium eine weitere IT-Schwachstelle im Geschäftsbereich des Ministeriums bekannt geworden. Nutzerdaten einer internen Arbeitsplattform seien öffentlich einsehbar gewesen. Erst war von 500 Nutzerdaten die Rede, dann von Tausenden Nutzerdaten. Bestätigen konnte das Schulministerium bisher nur, dass die Zahl 500 falsch sei. Das Zentralabitur sei von dieser Schwachstelle jedoch nicht betroffen, betonte das Ministerium am Montag.
Die Schwachstelle sei am Donnerstag auf einem Server der „Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule NRW“ (QUA-LiS NRW) entdeckt worden, berichtete das Schulministerium. Schulen hätte dort über einen Testserver ganzjährig die Möglichkeit, die Funktionsfähigkeit schulischer Hard- und Software zu testen. Lehrkräfte könnten jederzeit darauf zugreifen.
Über dieses System habe die Möglichkeit bestanden anscheinend Tausende Nutzerdaten einer anderen internen Arbeitsplattform der QUA-LiS NRW auszulesen – zum Beispiel Nutzername und E-Mail-Adresse. Diese Möglichkeit des Zugriffs sei umgehend nach Bekanntwerden am vergangenen Donnerstag unterbunden worden, erklärte das Ministerium. Die Nutzer seien entsprechend informiert und gebeten worden, vorsorglich ihre Passwörter zu ändern. Der Hinweis auf die Schwachstelle sei von Spezialisten des Bundesamts für Sicherheit in der Informationstechnik (BSI) gekommen, sagte ein Sprecher.
Schulministerin Dorothee Feller (CDU) habe angeordnet, dass alle IT-Prozesse des Landesinstituts jetzt auf den Prüfstand gestellt würden. „Wir schauen uns hier alles ganz genau an. Diese Analyse hat absolute Priorität. Es muss hier Klarheit geben, wie es zu der Schwachstelle kommen konnte“, sagte sie laut der Mitteilung.
„Pannenserie des Kabinetts setzt sich fort“
FDP-Landtagsfraktions-Chef Henning Höne teilte mit: „Die Pannenserie des Kabinetts von Ministerpräsident Hendrik Wüst setzt sich fort. Dass die Daten von 500 Lehrkräften bei QUA-LiS NRW ausgelesen werden konnten, ist ein weiterer Schlag ins Kontor und verlängert den presseöffentlichen Ritt von Schulministerin Feller (CDU) durch Absurdistan.“ Die Liberalen fordern „eine lückenlose Aufklärung“ darüber, wie weitreichend der angenommene Datenabfluss ist.
Am Dienstagabend wurde die Größe des Datenlecks auf 16.000 oder mehr private Daten vermutet, wie die RP berichtete. Die Zahl 500 sei laut Schulministerium falsch, aber die kursierenden 16.000 Daten konnten auch nicht bestätigt werden. Nun bittet die SPD-Landtagsfraktion um Prüfung des Falls. „Wenn es wirklich stimmt, dass mehr als 16 000 Datensätze im Netz ungeschützt verfügbar waren, kann die Schulministerin nicht einfach so zur Tagesordnung übergehen“, so die Abgeordnete Dilek Engin.
Schulministerin Dorothee Feller (CDU) äußerte sich zu der Datenpanne nun im Landtag. Sie erklärte am Mittwoch: „Das sage ich hier ganz offen: Es kann immer in nächster Zeit sein, dass irgendwo was aufploppt.“ Den Vorwurf von fehlender Transparenz wies die Ministerin in ungewöhnlich emotionaler Form zurück. „Ich finde im Ministerium Baustellen vor, da kann ich nur mit dem Kopf schütteln“. Sie sprach von inhaltlichen und organisatorischen Baustellen im Schulministerium, die nur schrittweise anzugehen seien.
mit dpa bani
Abitur in NRW: Schulministerin nach Abi-Panne im Visier
Neue Abituraufgaben in NRW für Freitag: Fragen und Antworten zum verspäteten Start
Erste Abi-Verschiebung in NRW: Panne möglicherweise durch Sicherheitsfeature ausgelöst