Mehr als 16.000 Datensätze, ein Teil davon mit personenbezogenen Daten, umfasst das Leck auf einem Landesserver. Er wurde abgeschaltet.
Sicherheitslücke im NRW-SchulministeriumTausende Lehrerdaten waren jahrelang ungeschützt
Von Frank Olbert und Hendrik Geisler
Lesezeit 4 Minuten
Vor allem Lehrerinnen und Lehrer sind von dem Datenleck im NRW-Schulministerium betroffen. (Symbolbild)
Copyright: picture alliance/dpa
Mindestens 3765 Datensätze mit personenbezogenen Daten wie Telefonnummern, Anschriften und Namen von Mitarbeitenden des Landes sowie Lehrerinnen und Lehrern lagen ungeschützt auf Servern des nordrhein-westfälischen Schulministeriums. Was der „Kölner Stadt-Anzeiger“ schon am vergangenen Freitag öffentlich gemacht hatte, bestätigte das Ministerium am Montagabend schließlich. „Wir müssen nach aktuellem Kenntnisstand davon ausgehen, dass diese Schwachstellen schon seit Jahren bestehen“, sagte Schulministerin Dorothee Feller (CDU) laut der Mitteilung.
IT-Schwachstellen: Server bis auf Weiteres vom Netz genommen
Weitere 12.792, etwas weniger heikle Datensätze waren für jede und jeden einsehbar. „Im Regelfall“ hätten sie nur einen Nutzernamen aus einer Kombination von Vor- und Zunamen enthalten, hieß es aus dem Ministerium. Doch damit nicht genug: Das mit der Analyse der IT-Infrastruktur beauftragte Team des Beratungsunternehmens Ernst & Young hatte dermaßen viele Schwachstellen gefunden und geschlossen, dass Schulministerin Feller nicht ausschließen konnte, dass es weitere Schwachstellen gibt. „Bis auf Weiteres“ wurde der Server des dem Ministerium unterstellten Landesinstituts Qualis vom Netz genommen.
Warum Feller am Montag, 24. April, von 500 betroffenen Datensätzen gesprochen hatte, obwohl dem Land NRW laut Bundesamt für Sicherheit in der Informationstechnik schon seit der Vorwoche die Meldung von 3765 Fällen vorlag, ist nicht abschließend geklärt. Aus dem Schulministerium heißt es auf Anfrage, das habe dem damaligen Informationsstand interner Analysen bei der Qualis entsprochen.
Dass die ungeschützten Daten in der Vergangenheit tatsächlich abgeflossen sind, sei aktuell „unwahrscheinlich, es kann aber auch nicht vollständig ausgeschlossen werden“, heißt es weiter. Der Server sei bereits seit 2002 in Betrieb, ob die Datenpanne auch seitdem besteht, ist heute nicht mehr nachvollziehbar. 2002 hatte die SPD die Verantwortung für das Bildungsressort, danach übernahmen 2005 die CDU, 2010 die Grünen und 2017 die FDP, bevor im vergangenen Jahr CDU-Politikerin Dorothee Feller übernahm.
Kölner Schulleiter: Server und Daten vermutlich veraltet
André Szymkowiak, Schulleiter des Gymnasiums Thusneldastraße in Köln-Deutz, hat den fraglichen Qualis-Server genutzt. So diente er etwa der Schulleiterqualifizierung. Allerdings sei der Server „raus aus der Mode“, so Szymkowiak – vor zehn Jahren sei er gängig gewesen, doch mittlerweile gebe es weitaus nutzerfreundlichere Cloud-Lösungen. Wie der Server selbst seien vermutlich auch die Daten veraltet. Hier würde nicht Dramatisches oder Heikles zu finden sein, meint der Kölner Schulleiter. Vom Ministerium wurde er Ende vergangener Woche über das Leck informiert.
André Szymkowiak, Leiter des Thusnelda-Gymnasiums in Deutz
Copyright: Csaba Peter Rakoczy
Tatsächlich sind in Einzelfällen gerade alte Daten ein Problem: Die Neuregistrierung einer veralteten E-Mail-Adresse führte dazu, dass Hacker testweise das Qualis-Benutzerkonto einer Schulleiterin im Rhein-Sieg-Kreis übernehmen konnten. An Abituraufgaben gelangten sie auf diesem Weg allerdings nicht. Dem „Kölner Stadt-Anzeiger“ ist der Name der Schulleiterin bekannt. Auf telefonische und schriftliche Anfragen reagierte sie am Dienstag nicht.
Kölner Schulleiter: Schwieriges Verhältnis zu Qualis
Nach dem Kenntnisstand seines Kollegen von der Katharina-Henoth-Gesamtschule in Köln, Martin Süsterhenn, ist dort niemand von dem Datenleck betroffen. Sein Verhältnis zu Qualis bezeichnet Süsterhenn als „recht schwierig“. So habe seine Schule an der diesjährigen Lernstandserhebung für Deutsch und Englisch in der achten Jahrgangsstufe nicht teilnehmen können, „weil der Versand der Aufgabenhefte so gar nicht funktioniert hat“.
Ein ehemaliger Lehrer, der rund 15 Jahre lang Schulen in NRW beim Einsatz digitaler Medien beraten hat, sagt: „Ich kenne weltweit kein System, das keine Datenlecks hat.“ Bei der Digitalisierung von Schule und Bildung gäbe es noch deutlich größere Probleme im Land.
Der SPD-Bildungsexperte und stellvertretender Fraktionsvorsitzende im Landtag, Jochen Ott, meint, dass aus der Download-Panne längst eine Daten-Panne von erheblichem Ausmaß geworden sei. „Die Informationen dazu erscheinen aber nur scheibchenweise auf der Bildfläche. Wir haben dazu deshalb jetzt im Plenum eine Mündliche Anfrage an die Landesregierung gerichtet“, so Ott auf Anfrage des „Kölner Stadt-Anzeiger“. Die Frage, die sich dabei unter anderen stelle, sei: „Warum entschied die Ministerin erst jetzt, den Server abzuschalten? Laut Aussage vom Schulministerium in der vergangenen Woche habe es sich doch nur um eine temporäre Sicherheitslücke gehandelt, die mittlerweile geschlossen sei. Man muss leider den Eindruck gewinnen, dass Frau Feller der Informationslage jeden Tag ein Stückchen weiter hinterherläuft.“
Franziska Müller-Rech, schulpolitische Sprecherin in der FDP-Landtagsfraktion NRW, fordert das Ministerium für Schule und Bildung auf, schnellstmöglich effektive Schutzmaßnahmen zu ergreifen, um das Risiko von Datenabfluss und Datenmissbrauch zu minimieren. „Diese Aufgabe wird allerdings nur im Team gelingen und indem man die Qualis unterstützt, statt mit dem Finger auf die Landesagentur zu zeigen. Wir fordern Schulministerin Feller auf, die Verantwortung für die IT-Sicherheitsprobleme zu übernehmen und die Prüfung auch auf den Rest ihres Hauses auszuweiten.“
„Wie war’s in der Schule?“ Abonnieren Sie hier unseren Newsletter für Familien und Lehrende in der Kölner Region – immer mittwochs.