Nach der IT-Panne zum Start des Zentralabiturs hat es nach Angaben von Nordrhein-Westfalens Schulministerin Dorothee Feller (CDU) bisher keine weiteren Komplikationen beim Abitur 2023 gegeben. Die technische Störung beim Herunterladen der Aufgaben sei längst behoben, bekräftigte sie am Mittwoch in einer Fragestunde des Düsseldorfer Landtags. «Die Downloads der Klausuren und auch die Prüfungstage selbst sind seitdem problemlos verlaufen.»
Jetzt sei oberste Priorität, das Abitur bis zum 22. Mai reibungslos abzuschließen, antwortete Feller auf die Frage, ob sie erwäge, die Prüfungsaufgaben künftig über landeseigene Server anzubieten. Alles Andere werde danach besprochen. Rechtliche Schritte gegen den privaten Dienstleister, über dessen Server die Aufgaben seit Jahren heruntergeladen werden, seien nicht eingeleitet worden. Anders als beim Daten-Leck beim Landesschulinstitut Qualis habe es bei dem Arnsberger IT-Unternehmen keine Sicherheitslücke gegeben, betonte die Ministerin. Das Abitur sei von den Qualis-Problemen überhaupt nicht betroffen.
«In keinem Fall ist es nach bisherigen Erkenntnissen zum Missbrauch von Daten gekommen»
Feller hatte am Mai-Feiertag mitgeteilt, dass ein Server bei Qualis abgeschaltet worden sei, nachdem weitere Schwachstellen nicht auszuschließen seien. Ein externes IT-Expertenteam hatte demnach am Wochenende bestätigt, dass mindestens 16.557 Datensätze von dem Qualis-Server ausgelesen worden seien – im Regelfall Vor- und Zunamen von Lehrkräften oder Qualis-Mitarbeitern. Außerdem sei nach bisherigen Erkenntnissen davon auszugehen, dass mindestens 3765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen worden seien. Zunächst war von lediglich 500 Betroffenen die Rede.
«In keinem Fall ist es nach bisherigen Erkenntnissen zum Missbrauch von Daten gekommen», sagte Feller. Nach Abschalten des Servers, der als gemeinsame Plattform für die Arbeit an Lehrplänen oder Fortbildung genutzt worden sei, seien «bis zur Stunde keine weiteren Schwachstellen gefunden worden». Jetzt werde mit Hochdruck daran gearbeitet, eine Ersatz-Plattform zur Verfügung zu stellen.
Inzwischen habe sich herausgestellt, dass die IT-Schwachstelle bei Qualis mindestens seit 2019 bestehe, berichtete Feller. Nach Einschätzung der externen IT-Experten sei nicht ausgeschlossen, dass sie bereits 2015 entstanden sei oder sogar schon seit Einrichtung des Servers im Jahr 2002 bestehe.
Feller konterte die vielen bohrenden Nachfragen aus den Oppositionsreihen mit demonstrativem Selbstbewusstsein. «Es sind nicht meine Pannen», bilanzierte sie. Es stehe fest, dass sie «in den letzten zehn Tagen mehr Schwachstellenanalyse betrieben habe als in den Jahren zuvor stattgefunden hat». Den Weg werde sie weitergehen. Verantwortung für Schwachstellen, die weit vor ihrer Amtszeit entstanden seien, trage sie aber nicht.
«Sowas kann keiner nie ausschließen, dass es irgendwo Schwierigkeiten mit einem Server gibt»
Die Lernplattform Logineo sei sicher, sagte Feller. Auch die Server im Schulministerium würden ständig auf den aktuellen Stand gebracht. In den Schulen vor Ort seien die Träger für IT-Sicherheit zuständig. Der Problem-Server bei der Qualitäts- und Unterstützungsagentur Qualis sei dort selbst aufgebaut und sicherheitstechnisch abgenommen worden, berichtete sie.
Auf die Frage der SPD-Abgeordneten Ellen Stock, ob die nun weitere IT-Sicherheitslücken im Schulbereich ausschließen könne, antwortete Feller: «Sowas kann keiner nie ausschließen, dass es irgendwo Schwierigkeiten mit einem Server gibt.» Die Frage nach den Kosten für den externen IT-Analytiker konnte die Ministerin noch nicht beziffern. Die Gesamtanalyse sei noch nicht abgeschlossen, sagte sie. Der Dienstleister habe über einen Rahmenvertrag mit dem Land NRW kurzfristig eingeschaltet werden können. Er prüfe aber nur die IT-Schwachstellen bei Qualis. News4teachers / mit Material der dpa
Innerhalb der Richtlinien der Landesverfassung (Ressortprinzip) leitet jeder Minister seinen Geschäftsbereich selbstständig und unter eigener Verantwortung.
„…bestätigt, dass mindestens 16.557 Datensätze von dem Qualis-Server ausgelesen worden seien…“ bedeutet doch, es wurde nicht nur die Datenquelle offen gehalten, sondern die Daten von Dritten benutzt, oder?
Schulminister(in=, scheinbar eine hochdotierte leitende Position mit selbständigen Handlungen und ohne Verantwortlichkeit (Eigenschaft für etwas verantwortlich zu sein) z. B. für Pannen.
Da bin ich aber wenig beruhigt, wenn der Dienstleister nach Rahmenvertrag nun die IT-Schwachstellen bei Qualis prüft und nicht noch die Verantwortlichkeiten.
Nachtrag: Nur was soll man sich unter „Gesamtanalyse“ (vielleicht ohne Verantwortlichkeit(en)) vorstellen?
Ich finde es ein bisschen leichtfertig zu behaupten, dass die Daten nicht missbraucht wurden. Das ist sicherlich nicht nachvollziehbar und kann für die Betroffenen Folgen haben, die diese gar nicht auf das Datenleck des Schulrechners zurück führen können.
Frau Feller muss sich bald etwas Neues einfallen lassen : Inzwischen ist es nur noch billig , für alle Pannen ihre Vorgängerin verantwortlich zu machen , denn sie wurde bereits vor etwa einem Jahr abgewählt . Oder hat Yvonne Gebauer jetzt Schuld , wenn die aktuelle Ministerin die Schulen bis 20.30 probieren und warten lässt und dann das Abitur kurzfristig verschiebt ? Eine gute Figur gibt die Neue wahrlich nicht ab .
„In den Schulen vor Ort seien die Träger für IT-Sicherheit zuständig.“
Und das Landesministerium ist die oberste Schulbehörde, vertreten durch eine natürliche Person als Dienstvorgesetzte und nach DSGVO verantwortlich.
Die SL sind in den Schulen die verantwortlichen Beamten, wenn es um DSGVO geht, weniger die Schulträger oder Datenschutzbeauftragte.