DÜSSELDORF. Das Datenleck im Verantwortungsbereich des Schulministeriums von Nordrhein-Westfalen war deutlich größer, als bisher angenommen wurde. War zunächst lediglich von rund 500 betroffenen Lehrkräften die Rede, steht nun die Zahl von 16.557 ausgelesenen Datensätzen im Raum („mindestens“) – und zwar nicht nur mit dienstlichen Daten, sondern möglicherweise auch mit privaten Adressen und Telefonnummern. Aus dem Download-Debakel beim Fehlstart des diesjährigen Zentralabiturs sei „längst eine Daten-Panne von erheblichem Ausmaß geworden“, sagte SPD-Vizefraktionschef Jochen Ott am Dienstag in Düsseldorf.
Das mit der Analyse der IT-Infrastruktur des Landesschulinstituts Qualis in Soest beauftragte externe IT-Expertenteam hat dem Schulministerium am Wochenende erste vorläufige Ergebnisse übermittelt. Danach sind bei weitere Schwachstellen entdeckt und unmittelbar geschlossen worden. Da zum gegenwärtigen Zeitpunkt nicht ausgeschlossen werden kann, dass es weitere Datenlecks gibt, habe Schulministerin Dorothee Feller (CDU) entschieden, den Server abzuschalten, auf dem sich derzeit mehrere Probleme kumuliert haben. „Wir müssen nach aktuellem Kenntnisstand davon ausgehen, dass diese Schwachstellen schon seit Jahren bestehen“, sagte sie.
Der nun abgestellte Server werde von den Mitarbeiterinnen und Mitarbeitern sowie von Qualis-Arbeitsgruppen als gemeinsame Arbeitsplattform unter anderem für den Austausch von und die gemeinsame Arbeit an Dokumenten genutzt. Das betrifft zum Beispiel die Lehrplanarbeit oder den Bereich der Fortbildung. „Es wird jetzt mit Hochdruck an einer sicheren Ersatzlösung gearbeitet. Da das externe IT-Expertenteam die gesamte IT-Struktur der Qualis überprüfen soll, ist nicht ausgeschlossen, dass weitere Schwachstellen gefunden werden“, so heißt es in einer Pressemitteilung des Schulministeriums.
„Dass weitere Datensätze einsehbar waren und weitere Personengruppen betroffen waren, ist zum gegenwärtigen Zeitpunkt unwahrscheinlich, aber auch nicht vollständig auszuschließen“
Neben der weiteren Schwachstellenanalyse habe das externe IT-Expertenteam bereits mit der Forensik der bekannten Schwachstelle begonnen und am Wochenende erklärt, dass nach bisherigen Erkenntnissen davon auszugehen ist, dass mindestens 16.557 Datensätze ausgelesen wurden, die im Regelfall ausschließlich einen Nutzernamen aus einer Kombination aus Vor- und Zunamen enthielten. Weiter sei nach bisherigen Erkenntnissen davon auszugehen, dass mindestens 3.765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen wurden. Diese Einträge konnten über den Nutzernamen hinaus folgende Informationen enthalten:
- organisatorische Rolle im Schulsystem (z.B. „stellvertretende Leitung“)
- Institutionszugehörigkeit (z.B. Name der Schule)
- Postalische Adresse
- Dienstliche oder private Festnetz- oder Mobilfunknummer
- Dienstliche oder private E-Mail-Adresse
- weitere technische Daten (z.B. Erstellungsdatum des jeweiligen Nutzeraccounts)
Nicht alle Datensätze enthielten alle Angaben. Betroffene seien Mitarbeiterinnen und Mitarbeiter von Qualis sowie Lehrkräfte, die in Arbeitsgruppen des Landesinstituts tätig waren. „Dass weitere Datensätze einsehbar waren und weitere Personengruppen betroffen waren, ist zum gegenwärtigen Zeitpunkt unwahrscheinlich, aber auch nicht vollständig auszuschließen. Aufgrund der langen Dauer der Schwachstellen von möglichen mehreren Jahren kann es durchaus sein, dass sich die genaue Datenmenge nicht mehr zuverlässig ermitteln lässt. Zugehörige Kennwörter konnten nach gegenwärtigen Kenntnisstand nicht ausgelesen werden. Die Datenanalyse wird weiter fortgesetzt“, so teilte das Ministerium mit.
„Wir werden alle Untersuchungen weiter mit Hochdruck vorantreiben, um den Missbrauch von Daten zu verhindern“, erklärte Feller. Die Landtags-Opposition gibt sich damit allerdings nicht zufrieden. „Die Informationen dazu erscheinen aber nur scheibchenweise auf der Bildfläche“, kritisierte SPD-Vizefraktionschef Jochen Ott. Deswegen werde seine Fraktion an diesem Mittwoch im Landtagsplenum eine Anfrage an die Landesregierung richten. Es verfestige sich der Eindruck, dass Feller «der Informationslage jeden Tag ein Stückchen weiter hinterläuft».
Auch die FDP forderte, IT-Schwachstellen schnellstmöglich zu schließen. Die schulpolitische Sprecherin der Fraktion, Franziska Müller-Rech, ermahnte die Landesregierung sicherzustellen, dass personenbezogene Daten und Informationen von Lehrkräften, Mitarbeitern und Schülern geschützt gespeichert sind.
Feller hatte in der vergangenen Woche im Schulausschuss offenbart: „Ich finde im Ministerium Baustellen vor, da kann ich nur mit dem Kopf schütteln.“ Es handle sich um inhaltliche und organisatorische Probleme, die nur Stück für Stück abzuarbeiten seien. „Es kann immer in nächster Zeit sein, dass irgendwo was aufploppt“, hatte Feller angekündigt. News4teachers / mit Material der dpa
Aber wehe eine Lehrkraft verschickt eine Rundmail an die Elternschaft mit sichtbaren E-Mail-Adressen (und nicht bcc). Dann kommt sofort ein Schlaumeier auf den Plan und schaltet Datenschutzbeauftragten und Schulbehörde ein und es gibt einen ordentlichen Ansch… mit Eintrag in die Personalakte…
Ich hoffe, einer der vom Datenleck betroffenen Kollegen hat genug E… in der Hose und zeigt das dem Landesdatenschutzbeauftragten als Betroffener offiziell an. Es besteht auch ein Auskunftsrecht bei der Behörde, ob man selbst vom Datenleck betroffen ist…
Wie finde ich heraus ob ich betroffen bin?
Ich schätze, dass das gar nicht so einfach wird, da Qualis eine ganze Blume an Angeboten bereithält. Das reicht von Edkimo über Logineo LMS bis hin zu Coaching Angeboten. Überall hinterlässt man entweder die Email-Adresse und einen Benutzernamen, z.T. auch mit Passwörtern.
Ich habe eben mal geschaut und festgestellt, dass ich einige Angebote nutze, wo man sich einloggen muss….allerdings habe ich nie meine private Emailadresse oder Handynummer genutzt…..daher geht es noch….hoffentlich….
Noch nie das Auskunftsrecht (garantiert Ihnen Art. 15 der Datenschutz-Grundverordnung (DSGVO)) ein bedeutsames Betroffenenrecht ausgeübt?
Als betroffene Person würde ich bei von dem für die Datenverarbeitung Verantwortlichen schriftlich die Auskunft darüber verlangen, welche Daten dort über Sie gespeichert sind bzw. verarbeitet werden.
Im Netz nach „Mustervorlagen“ suchen.
Korrekt. Bin aber mal gespannt, ob da mit zweierlei Maß gemessen wird. Zur Not eine Beschwerde beim LDI.
Was soll die LDI NRW denn schon ausrichten, außer DUDUDU?
Bußgelder unter Behörden werden nicht verhängt, da dadurch nur die Finanztöpfe untereinander austauschen (BDSG/LDSG:
„Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt. “)…
Mir erscheint die aufgeploppte(n) Datenpanne(n) ein wenig wie dies als eine Baustelle der „Altlasten“ abtun zu wollen.
Nur gut, dass sowas in Baden-Württemberg nicht passieren kann.
Die im Ländle verwendeten Lochkartenmaschinen sind definitiv nicht von außen angreifbar und haben auch kein Lochmuster für das @-Zeichen.
Als Lilith Wittmann die Zahl genannt hatte, wurde das als Spinnerei abgetan. Immer erst mal abwiegeln und dann die Salamitaktik anwenden.
Das kommt davon, wenn man mit zwei linken Händen seine Socken bzw. IT selbst stricken will. Na ja, vielleicht kann ja der Abitursbeste in Informatik mal drüberschauen.
Ich gehe davon aus, dass die ursprüngliche Zahl (500) zustande kam, weil man zunächst nicht gemerkt hat, dass nicht alle Datensätze auf einer Seite angezeigt werden. Die haben vermutlich schlicht nicht weitergeblättert.
Klingt zwar dilettantisch, aber leider würde das in NRW exakt ins Bild passen.
Die 72 Stunden-Frist zur uverzüglichen Meldung einer jeden Datenpanne / eines Datenlecks an die Aufsichtsbehörde wurde eingehalten (! ?).