In Sachen IT-Sicherheit kommt das nordrhein-westfälische Bildungsministerium nicht zur Ruhe. In der vergangenen Woche mussten schriftliche Abiturprüfungen um zwei Tage verschoben werden – Grund war das Versagen des landeseigenen Servers, von dem die Schulen die Aufgaben herunterladen sollten. Nun gibt Bildungsministerin Dorothee Feller (CDU) bekannt, dass eine weitere Schwachstelle im Netzwerk des Landesinstituts Qualis gefunden worden sei. Die „Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule“ (Qualis NRW) ist eine zentrale Einrichtung für pädagogische Dienstleistungen. Sie nimmt Aufgaben im Bereich Schule und Bildung und auch auf dem Gebiet der gemeinwohlorientierten Weiterbildung wahr und gehört in die Zuständigkeit des Bildungsministeriums.

Auf Anfrage des „Kölner Stadt-Anzeiger“ betrifft die nun aufgespürte Schwachstelle eine interne Arbeitsplattform von Qualis, auf deren Nutzernamen und Passwörter ein ungeschützter Zugriff von außen möglich war. Das Ministerium wurde am vergangenen Donnerstag vom Bundesamt für Sicherheit in der Informationstechnik auf den Missstand aufmerksam gemacht und habe ihn umgehend behoben, wie ein Sprecher von Schulministerin Dorothee Feller sagte.

Üben für das Abi

Der Zugangsweg erfolgte über einen Server in der Agentur, der den Schulen ganzjährig dauerhaft zur Verfügung steht – hier können Lehrerinnen und Lehrer in einer Testumgebung simulieren, wie man für das Zentralabitur Aufgaben und Prüfungsmaterial herunterlädt. Es handelt sich dabei um „Dummy-Dateien“, wie das Ministerium betont, also nicht um die echten Abituraufgaben. Die Lehrkräfte können jederzeit darauf zugreifen, auch vom privaten Rechner, jede Nutzerin und jeder Nutzer erhält den gleichen Nutzernamen und das gleiche Passwort.

Offenbar ist es laut Ministeriumssprecher der Netzaktivistin Lilith Wittmann und anderen gelungen, über diese Testumgebung auf einen Hintergrunddienst des Servers zuzugreifen, der nicht bloß den einmal vergebenen Nutzernamen mit dem dazu gehörenden Passwort verwaltet, sondern sehr viel mehr Daten umfasst. Wittmann spricht von 16.000 Namen und Passwörtern – das Schulministerium nennt die Zahl 500. Die Nutzer seien zwischenzeitlich entsprechend informiert und gebeten worden, vorsorglich ihre Passwörter zu ändern.

Das Ministerium betont, dass das Zentralabitur von dieser Schwachstelle nicht betroffen sei. Seit der Störung beim Download am vergangenen Dienstag, die zur Verschiebung der Abiturklausuren führte, verliefen alle Downloadprozesse im Zusammenhang mit dem Abitur normal. Alle IT-Prozesse von Qualis würden auf Anordnung von Schul- und Bildungsministerin Dorothee Feller auf den Prüfstand gestellt und einer detaillierten Analyse durch IT-Expertenteams unterzogen, heißt es. „Wir schauen uns hier alles ganz genau an. Diese Analyse hat absolute Priorität. Es muss hier Klarheit geben, wie es zu der Schwachstelle kommen konnte. Aus diesem Grunde ist die umfassende Experten-Analyse zwingend”, sagte Ministerin Feller.

Sabine Mistler vom Philologenverband NRW übt auf Anfrage deutliche Kritik an der nun bekannt gewordenen undichten Stelle: „Dass die Datensätze von mindestens 500 Personen frei abrufbar waren, hätte niemals passieren dürfen. Wir hoffen, dass die Dimensionen nicht viel größer sind als bislang bekannt oder noch weitere Probleme auftauchen.“ Mit der vermeidbaren Panne beim Download der Abituraufgaben und dem jetzt bekannten gewordenen Datenleck mache sich das Bildungsland NRW derzeit selbst das Leben schwer, so Mistler. 

Dorothee Feller zur Abi-Panne

„So etwas darf nicht noch einmal passieren“

Von

Frank Olbert

Merken

Die Opposition im Landtag rügt erneut die Kommunikation der Landesregierung: „Das Leck war Ministerin Feller während der Sondersitzung des Schulausschusses am vergangenen Freitag bereits bekannt. Aber die Ministerin hat weitere Lücken der IT-Sicherheit mit keinem Wort erwähnt. Während sie also in der Sitzung vollmundig versprach, künftig transparenter und frühzeitiger zu kommunizieren, hielt sie mit einem weiteren Vorfall hinter dem Berg“, sagt Franziska Müller-Rech, schulpolitische Sprecherin in der FDP-Landtagsfraktion NRW.

„Wie war’s in der Schule?“ Abonnieren Sie hier unseren Newsletter für Familien und Lehrende in der Kölner Region – immer mittwochs.