Auch E-Mail-Adressen und Telefonnummern einsehbar

Schulministerin Feller unter Druck

Das Schulministerium geht davon aus, dass "mindestens" 16.557 Datensätze ausgelesen werden konnten. Dabei soll es sich größtenteils um Nutzernamen aus einer Kombination aus Vor- und Zunamen gehandelt haben. Allerdings wurden auch mindestens 3.765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen. Bei diesen weiteren Daten kann es sich laut Schulministerium neben der Adresse auch um dienstliche oder private Rufnummern oder E-Mail-Adressen handeln. Betroffen sind neben Mitarbeiterinnen und Mitarbeitern der QUA-LiS auch Lehrkräfte, die in Arbeitsgruppen der QUA-LiS tätig waren.

"Dadurch ist etwa Identifikationsdiebstahl möglich" , erklärt Carl Fabian Lüpke, der die Schwachstelle entdeckt hatte. So sei es ihm in einem Fall gelungen, durch das Neuanlegen einer nicht mehr aktiven E-Mail-Adresse einen Benutzer-Account auf dem Server zu übernehmen. Dadurch hatte er Zugriff zu einem Groupware-System, in dem etwa Termine oder auch Lehrpläne verwaltet wurden. Es wäre deshalb "total vernünftig" , hier erstmal den Stecker zu ziehen, erklärt Lüpke.

Daten schon lange ungeschützt im Netz?

"Wir müssen nach aktuellem Kenntnisstand davon ausgehen, dass diese Schwachstellen schon seit Jahren bestehen" , räumte Schulministerin Feller am Montag ein. Deshalb wäre aber die genaue Analyse, wann welche Daten offen im Netz lagen, so kaum mehr möglich, meint Carl Fabian Lüpke: "Man muss davon ausgehen, dass es zu einem vollständigen Datenleck gekommen ist." Auch das Schulministerium teilte mit, es wäre "nicht vollständig auszuschließen" , dass weitere Datensätze einsehbar waren.