Letzte Woche musste das Schulministerium nur eine Schwachstelle auf einem Server eines Dienstleisters einräumen, am Wochenende kamen dann noch weitere Erkenntnisse hinzu. Schulministerin Dorothee Feller (CDU) zog daraufhin am Montag die Konsequenz und den Stecker: "Aufgrund der Aufdeckung weiterer Schwachstellen haben wir entschieden, den betreffenden Server aus Sicherheitsgründen zunächst bis auf Weiteres vom Netz zu nehmen", teilte Feller Montagabend mit.
Wie genau es zu dieser Entscheidung kam, kann Feller bereits am Mittwoch im Landtag erklären. Eine entsprechende Anfrage hat der SPD-Abgeordnete Sebastian Watermeier für die Fragestunde im Landtagsplenum eingereicht. Denn die bisherigen Erklärungen der Ministerin lassen tatsächlich noch einige Fragen offen.
Tausende Datensätze offen im Netz
Fest steht, dass nach der Panne bei den Abiturprüfungen auf dem Server eines Dienstleisters des Ministeriums Mitte April eine schwere Schwachstelle entdeckt wurde. Datensätze, die eigentlich nur intern eingesehen werden sollten, lagen offen im Netz. Während das Schulministerium anfangs von 500 betroffenen Datensätzen sprach, ist mittlerweile klar, dass es sich um mindestens 16.557 Datensätze handelt - wenn nicht sogar deutlich mehr.
Auf die Schwachstelle gestoßen war der Hacker Carl Fabian Lüpke, der umgehend das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte. "Genau genommen war es keine Sicherheitslücke, sondern ein Konfigurationsunfall mit anschließender Datenpanne", erklärte Lüpke dem WDR. Er war auf ein System gestoßen, das offenbar für die Benutzerkontoverwaltung einiger Anwendungen auf dem Server zuständig war - und das ohne Passwortschutz im Netz frei zugänglich eingesehen werden konnte.
Nach Bekanntwerden der Panne beauftragte das Ministerium externe IT-Experten mit der genauen Analyse des Servers, der von der QUA-LiS genutzt wird, einer dem Ministerium untergeordneten Agentur, die pädagogische Dienstleistungen anbietet. Die Agentur mit Sitz in Soest betreibt verschiedene Web-Angebote zur Weiterbildung von Lehrerinnen und Lehrern. Außerdem stellt sie nach eigenen Angaben den "zentralen Ort für alle wichtigen Informationen zu den Zentralen Prüfungsverfahren in Nordrhein-Westfalen" zur Verfügung.
Am vergangenen Wochenende entdeckten die Experten dann neben der bekannten noch weitere Schwachstellen auf dem Server, woraufhin Schulministerin Feller sich für die Abschaltung des ganzen Systems entschied.
Auch E-Mail-Adressen und Telefonnummern einsehbar
Das Schulministerium geht davon aus, dass "mindestens" 16.557 Datensätze ausgelesen werden konnten. Dabei soll es sich größtenteils um Nutzernamen aus einer Kombination aus Vor- und Zunamen gehandelt haben. Allerdings wurden auch mindestens 3.765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen. Bei diesen weiteren Daten kann es sich laut Schulministerium neben der Adresse auch um dienstliche oder private Rufnummern oder E-Mail-Adressen handeln. Betroffen sind neben Mitarbeiterinnen und Mitarbeitern der QUA-LiS auch Lehrkräfte, die in Arbeitsgruppen der QUA-LiS tätig waren.
"Dadurch ist etwa Identifikationsdiebstahl möglich", erklärt Carl Fabian Lüpke, der die Schwachstelle entdeckt hatte. So sei es ihm in einem Fall gelungen, durch das Neuanlegen einer nicht mehr aktiven E-Mail-Adresse einen Benutzer-Account auf dem Server zu übernehmen. Dadurch hatte er Zugriff zu einem Groupware-System, in dem etwa Termine oder auch Lehrpläne verwaltet wurden. Es wäre deshalb "total vernünftig", hier erstmal den Stecker zu ziehen, erklärt Lüpke.
Daten schon lange ungeschützt im Netz?
"Wir müssen nach aktuellem Kenntnisstand davon ausgehen, dass diese Schwachstellen schon seit Jahren bestehen", räumte Schulministerin Feller am Montag ein. Deshalb wäre aber die genaue Analyse, wann welche Daten offen im Netz lagen, so kaum mehr möglich, meint Carl Fabian Lüpke: "Man muss davon ausgehen, dass es zu einem vollständigen Datenleck gekommen ist." Auch das Schulministerium teilte mit, es wäre "nicht vollständig auszuschließen", dass weitere Datensätze einsehbar waren.
Die FDP, die selber von 2017 bis 2022 die Schulministerin in NRW stellte, forderte Feller mittlerweile auf, die IT-Prüfung "auch auf den Rest ihres Hauses auszuweiten". "Die NRW-Landesregierung muss sicherstellen, dass personenbezogene Daten und Informationen von Lehrkräften, Schülerinnen und Schülern sowie Mitarbeiterinnen und Mitarbeitern stets sicher und geschützt gespeichert sind", betonte Franziska Müller-Rech. Hacker Carl Fabian Lüpke zumindest hält es nach seiner Erfahrung für durchaus möglich, dass noch weitere Server und Anwendungen des Schulministeriums betroffen sind.