Abo

„Das war so einfach“So deckte ein Hacker das Datenleck im NRW-Schulministerium auf

Lesezeit 4 Minuten
Eine junge Lehrerin schreibt an einer Schultafel. Am Dienstag findet in Düsseldorf eine Pressekonferenz zum landesweiten Rollout der Computer-Arbeitsplattform für Lehrer, «Logineo NRW», statt.

Klar ist nun: Die Daten von Lehrerinnen und Lehrern standen für jeden offen im Internet.

Der Hacker und IT-Experte Carl Fabian Lüpke vom Chaos Computer Club entdeckte Tausende Datensätze auf einem Server des NRW-Schulministeriums.

Mindestens 3765 Datensätze von Lehrerinnen und Lehrern und anderen Schulbediensteten sind von dem am Montag öffentlich gewordenen Datenleck im nordrhein-westfälischen Schulministerium betroffen. Das ergibt sich aus Gesprächen und Unterlagen, die der IT-Experte und Hacker Carl Fabian Lüpke vom Chaos Computer Club dem „Kölner Stadt-Anzeiger“ offengelegt hat. Lüpke hatte die Schwachstelle im System des Landes NRW bereits am Mittwochabend, 19. April, entdeckt und am Donnerstagvormittag dem Notfallteam CERT des Bundesamts für Sicherheit in der Informationstechnik (BSI) gemeldet.

Datenleck: Behörde bestätigt Meldung der Sicherheitslücke

Ein Sprecher des BSI bestätigte den Vorgang der Redaktion: „Das BSI wurde am 19. April 2023 durch einen Sicherheitsforschenden über eine Fehlkonfiguration auf einem Webserver des Landes NRW informiert.“ Die Informationen seien daraufhin an das Landes-CERT in NRW weitergeleitet worden. Am Dienstag, 25. April, seien dem BSI durch den Sicherheitsforschenden „weitere technische Details und Informationen zur Ausnutzbarkeit der Fehlkonfiguration zur Verfügung gestellt worden“.

Am Montag informierte NRW-Schulministerin Dorothee Feller (CDU) die Öffentlichkeit über das Datenleck. Sie sprach dabei von 500 ungeschützten Datensätzen. Darüber ärgerte sich Lüpke am selben Tag auf Twitter: „Das waren viel mehr Accounts. Dem @certbund meldete ich 3765 Datensätze.“ Am Mittwoch hieß es dann von Ministerin Feller, es seien „über 500“. Das Ministerium hat inzwischen IT-Experten des Beratungsunternehmens Ernst & Young hinzugezogen, um das Ausmaß der Datenpanne auf dem Server der Ministeriumsagentur Qualis zu ermitteln und will sich bis zu einem Ergebnis bedeckt halten.

Alles zum Thema Deutscher Bundestag

Auch Telefonnummern und Adressen waren einsehbar

Darüber hinaus bestehen Diskrepanzen zwischen den bislang veröffentlichten Informationen der Ministerin und ihres Sprechers und dem tatsächlichen Inhalt der geleakten Datensätze: Aus dem Schul- und Bildungsministerium hieß es lediglich, es seien zum Beispiel Namen, Benutzernamen und E-Mail-Adressen ungeschützt gewesen. Nach Informationen des „Kölner Stadt-Anzeiger“ beinhalteten die 3765 Datensätze darüber hinaus in vielen Fällen auch Telefonnummern und Anschriften sowie Informationen zur Funktion der Nutzer. Ob es sich dabei um private oder dienstliche Kontaktinformationen handelt, ist aktuell noch unklar.

Was mit den offen liegenden Daten aber unter anderem möglich war, verdeutlicht IT-Experte Carl Fabian Lüpke: Im Rahmen der Recherche konnte das Nutzerkonto der Leiterin einer Schule im Rhein-Sieg-Kreis übernommen werden. Möglich machte dies ein Domain-Wechsel der Schule. Das Nutzerkonto auf dem Qualis-Server des Landes lief weiterhin über die alte Domain-Endung, obwohl die Schule inzwischen über eine neue Internetadresse zu erreichen war. Auch mit wenig technischer Expertise konnten Hacker die alte Domain neu registrieren, eine entsprechende E-Mail-Adresse anlegen und das Passwort zurücksetzen. Und schon hatten sie Zugang zum Nutzerkonto der Schulleiterin und hätten dort Dateien einsehen können. Dem „Kölner Stadt-Anzeiger“ liegt der Name der Schulleiterin vor. Sie war am Freitag telefonisch nicht erreichbar.

Lüpke: Kein Zugriff auf Abituraufgaben

Lüpke, der ein renommierter Experte für IT-Sicherheit ist und im vergangenen Jahr unter anderem den Digitalausschuss im Bundestag beriet, habe nach den Querelen um die Verschiebung von Abiturklausuren vor allem interessiert, ob er auf diesem Weg auch auf Prüfungsaufgaben zugreifen konnte. „Das war zum Glück nicht der Fall“, sagt er.

„Das war so einfach“, sagt der CCC-Hacker auf die Frage nach dem Zugriff auf die ungesicherten Ministeriumsdaten. Im Zuge der Abitur-Verschiebung sei er auf die Webseite zpnrw.de, die Distributionsplattform Zentrale Prüfungen des Schulministeriums, aufmerksam geworden. Über diese Plattform laden die Schulen die Klausuraufgaben herunter. In einer dort verlinkten Anleitung wurde auf eine Seite für den Testdownload verwiesen. Dieser Seitenadresse fügte er verschiedene Endungen bei, die üblicherweise Schwachstellen offenlegen, sofern sie bestehen. Und er landete einen Treffer mit testdownload.standardsicherung.de/phpldapadmin. Dort konnte er sich ohne Passwortanfrage in das Datenverzeichnis einloggen – und 3765 Datensätze exportieren.

Nach seiner Meldung an das BSI sei die Sicherheitslücke schnell geschlossen worden, sagt Lüpke. Die Schulleiterin und andere Lehrkräfte des Landes NRW sollten inzwischen über den Abfluss ihrer persönlichen Daten aufgeklärt worden seien, heißt es aus dem Schulministerium auf eine Anfrage des „Kölner Stadt-Anzeiger“: Die betroffenen Personen seien durch das Landesinstitut Qualis „informiert und aufgefordert worden, ihre Passwörter zu ändern. Weitere Informationen, auch zu einzelnen Datensätzen, können wir Ihnen vor Abschluss der Untersuchung nicht geben.“ Mit Hochdruck werde an einer detaillierten Sachaufklärung gearbeitet: „Sobald belastbare Ergebnisse dieser Untersuchung vorliegen, wird das Ministerium für Schulen und Bildung das Parlament und die Öffentlichkeit unmittelbar und umfassend informieren.“

Carl Fabian Lüpke äußert derweil scharfe Kritik an Schulministerin Feller: „Es ist höchst unprofessionell, wenn man Transparenz verspricht und die Lücke kleinredet. Man informiert sofort Betroffene und dann die Öffentlichkeit, welche Daten abgeflossen sind.“


„Wie war’s in der Schule?“ Abonnieren Sie hier unseren Newsletter für Familien und Lehrende in der Kölner Region – immer mittwochs.

KStA abonnieren