DÜSSELDORF. Das Datenleck im Verantwortungsbereich des Schulministeriums von Nordrhein-Westfalen war deutlich größer, als bisher angenommen wurde. War zunächst lediglich von rund 500 betroffenen Lehrkräften die Rede, steht nun die Zahl von 16.557 ausgelesenen Datensätzen im Raum („mindestens“) – und zwar nicht nur mit dienstlichen Daten, sondern möglicherweise auch mit privaten Adressen und Telefonnummern. Aus dem Download-Debakel beim Fehlstart des diesjährigen Zentralabiturs sei „längst eine Daten-Panne von erheblichem Ausmaß geworden“, sagte SPD-Vizefraktionschef Jochen Ott am Dienstag in Düsseldorf.
Das mit der Analyse der IT-Infrastruktur des Landesschulinstituts Qualis in Soest beauftragte externe IT-Expertenteam hat dem Schulministerium am Wochenende erste vorläufige Ergebnisse übermittelt. Danach sind bei weitere Schwachstellen entdeckt und unmittelbar geschlossen worden. Da zum gegenwärtigen Zeitpunkt nicht ausgeschlossen werden kann, dass es weitere Datenlecks gibt, habe Schulministerin Dorothee Feller (CDU) entschieden, den Server abzuschalten, auf dem sich derzeit mehrere Probleme kumuliert haben. „Wir müssen nach aktuellem Kenntnisstand davon ausgehen, dass diese Schwachstellen schon seit Jahren bestehen“, sagte sie.
Der nun abgestellte Server werde von den Mitarbeiterinnen und Mitarbeitern sowie von Qualis-Arbeitsgruppen als gemeinsame Arbeitsplattform unter anderem für den Austausch von und die gemeinsame Arbeit an Dokumenten genutzt. Das betrifft zum Beispiel die Lehrplanarbeit oder den Bereich der Fortbildung. „Es wird jetzt mit Hochdruck an einer sicheren Ersatzlösung gearbeitet. Da das externe IT-Expertenteam die gesamte IT-Struktur der Qualis überprüfen soll, ist nicht ausgeschlossen, dass weitere Schwachstellen gefunden werden“, so heißt es in einer Pressemitteilung des Schulministeriums.
„Dass weitere Datensätze einsehbar waren und weitere Personengruppen betroffen waren, ist zum gegenwärtigen Zeitpunkt unwahrscheinlich, aber auch nicht vollständig auszuschließen”
Neben der weiteren Schwachstellenanalyse habe das externe IT-Expertenteam bereits mit der Forensik der bekannten Schwachstelle begonnen und am Wochenende erklärt, dass nach bisherigen Erkenntnissen davon auszugehen ist, dass mindestens 16.557 Datensätze ausgelesen wurden, die im Regelfall ausschließlich einen Nutzernamen aus einer Kombination aus Vor- und Zunamen enthielten. Weiter sei nach bisherigen Erkenntnissen davon auszugehen, dass mindestens 3.765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen wurden. Diese Einträge konnten über den Nutzernamen hinaus folgende Informationen enthalten:
- organisatorische Rolle im Schulsystem (z.B. „stellvertretende Leitung“)
- Institutionszugehörigkeit (z.B. Name der Schule)
- Postalische Adresse
- Dienstliche oder private Festnetz- oder Mobilfunknummer
- Dienstliche oder private E-Mail-Adresse
- weitere technische Daten (z.B. Erstellungsdatum des jeweiligen Nutzeraccounts)
Nicht alle Datensätze enthielten alle Angaben. Betroffene seien Mitarbeiterinnen und Mitarbeiter von Qualis sowie Lehrkräfte, die in Arbeitsgruppen des Landesinstituts tätig waren. „Dass weitere Datensätze einsehbar waren und weitere Personengruppen betroffen waren, ist zum gegenwärtigen Zeitpunkt unwahrscheinlich, aber auch nicht vollständig auszuschließen. Aufgrund der langen Dauer der Schwachstellen von möglichen mehreren Jahren kann es durchaus sein, dass sich die genaue Datenmenge nicht mehr zuverlässig ermitteln lässt. Zugehörige Kennwörter konnten nach gegenwärtigen Kenntnisstand nicht ausgelesen werden. Die Datenanalyse wird weiter fortgesetzt“, so teilte das Ministerium mit.
„Wir werden alle Untersuchungen weiter mit Hochdruck vorantreiben, um den Missbrauch von Daten zu verhindern“, erklärte Feller. Die Landtags-Opposition gibt sich damit allerdings nicht zufrieden. „Die Informationen dazu erscheinen aber nur scheibchenweise auf der Bildfläche“, kritisierte SPD-Vizefraktionschef Jochen Ott. Deswegen werde seine Fraktion an diesem Mittwoch im Landtagsplenum eine Anfrage an die Landesregierung richten. Es verfestige sich der Eindruck, dass Feller «der Informationslage jeden Tag ein Stückchen weiter hinterläuft».
Auch die FDP forderte, IT-Schwachstellen schnellstmöglich zu schließen. Die schulpolitische Sprecherin der Fraktion, Franziska Müller-Rech, ermahnte die Landesregierung sicherzustellen, dass personenbezogene Daten und Informationen von Lehrkräften, Mitarbeitern und Schülern geschützt gespeichert sind.
Feller hatte in der vergangenen Woche im Schulausschuss offenbart: „Ich finde im Ministerium Baustellen vor, da kann ich nur mit dem Kopf schütteln.“ Es handle sich um inhaltliche und organisatorische Probleme, die nur Stück für Stück abzuarbeiten seien. „Es kann immer in nächster Zeit sein, dass irgendwo was aufploppt“, hatte Feller angekündigt. News4teachers / mit Material der dpa
