DÜSSELDORF. Seit wann wusste das NRW-Schulministerium von IT-Problemen beim Landesinstitut Qualis? Länger als zugegeben – legt jedenfalls ein Schreiben nahe, in dem der Qualis-Direktor das Ministerium über Sicherheitslücken auf der Website des Instituts informiert. Das Ministerium erklärt, dieses Problem habe nichts mit dem Datenleck zu tun, das vor einigen Wochen bekannt wurde. Das heißt: Jetzt sind es schon drei Fälle im Verantwortungsbereich des Schulministeriums, bei denen es massiv bei der IT hapert. Und dieses Haus will die Digitalisierung von mehr als 6.000 Schulen im Land steuern?
Beim „Qualitäts- und UnterstützungsAgentur – Landesinstitut für Schule“ (Qualis), einem Ableger des Schulministeriums im westfälischen Soest, holpert nicht nur der Name. Ein Datenleck der Behörde sorgt seit Wochen für Aufregung. Tausende für den internen Gebrauch gedachte Datensätze von Lehrkräften waren offen im Netz zugänglich – Telefonnummern sowie E-Mail-Adressen und einiges mehr. Wie viele Datensätze genau, ist nach wie vor unklar. Nachdem ein Hacker darauf aufmerksam gemacht hatte, ließ das Schulministerium den Server abschalten. Im Landtag erklärte Schulministerin Dorothea Feller (CDU) mehrfach, erst im April von IT-Problemen beim Qualis erfahren zu haben.
Doch neue Recherchen zeigen: Das Schulministerium war bereits im vergangenen Jahr über IT-Probleme beim Qualis informiert worden. In einem Schreiben von Qualis-Direktor Rüdiger Käuser an das Ministerium mit Datum vom 13. September 2022, das der Deutschen Presseagentur vorliegt, weist er auf gravierende Risiken beim dort für die Homepage der Behörde genutzten Content Management System Contenido hin. Mit Blick auf das unentgeltlich verfügbare Open-Source-Programm schreibt er: „Seit dem Jahr 2021 stellt die Community zur Weiterentwicklung des CMS Contenido keine regelmäßigen Updates und Sicherheitspatches zur Verfügung.“
„Die benötigte Fachexpertise steht im Haus nicht zur Verfügung. Deshalb ist es erforderlich, eine externe Agentur in die Umsetzung dieses Prozesses einzubeziehen“
Zudem verweist Käuser darauf, dass das Bundesamt für die Sicherheit in der Informationstechnik die Verwendung des Programms nicht mehr empfehle. „Um auch zukünftig für die Rechtssicherheit der auf dem Internetangebot der Qualis veröffentlichten umfangreichen Seiten (wie Lehrplannavigator, Informationen über Fortbildungen und Stellenangebote, d. Red.) gewährleisten zu können, ist der Wechsel auf ein zeitgemäßes CMS unvermeidbar.“ Zudem weist das Landesinstitut darauf hin, dass die Umstellung mit den vorhandenen Kapazitäten nicht leistbar sei: „Die benötigte Fachexpertise steht im Haus nicht zur Verfügung. Deshalb ist es erforderlich, eine externe Agentur in die Umsetzung dieses Prozesses einzubeziehen.“
Aus dem Schulministerium hieß es am Sonntag, das Schreiben sei vorhanden, aber nicht der Hausleitung vorgelegt worden, weil es allein den internen Haushaltsgesprächen auf der Arbeitsebene diente, um Mittel für eine geordnete Erneuerung des Webauftritts anzumelden und zu begründen. Es „war keine akute Problemanzeige“.
Heute kam eine neue Erklärung. Die Sicherheitslücke auf der Internetseite von Qualis hat laut Schulministerium nichts mit dem großen Datenleck zu tun, das im April für Aufsehen gesorgt hatte. Das teilte ein Sprecher am frühen Montagabend mit. „Der Internetauftritt hat keine Verbindung zu den Systemen, die von dem Datenleck oder weiteren im Nachgang festgestellten IT-Schwachstellen betroffen waren“, so der Sprecher. Insofern habe ein Schreiben des Qualis-Chefs ans Ministerium aus dem vergangenen September „keine inhaltlichen oder zeitlichen Beziehungen zu der laufenden Aufarbeitung der IT-Schwachstellen“ bei Qualis.
Macht es das besser? Also gab es neben dem Leck bei den Lehrerdaten und dem zu kleinen Server für die Abituraufgaben (die schließlich nur durch Abschalten eines vorher für notwendig erachteten Sicherheitsmodus‘ übermittelt werden konnten) ein drittes Minenfeld bei der IT im Verantwortungsbereich von Schulministerin Dorothee Feller (CDU).
„Das sage ich hier ganz offen: Es kann immer in nächster Zeit sein, dass irgendwo was aufploppt“
So oder so: Die Opposition ist entrüstet und verlangt Aufklärung. „Ich bin sehr irritiert über diesen Vorgang. Wenn es seit mehr als einem halben Jahr Hilferufe an das Ministerium gab, dann sieht die Geschichte jetzt auf einmal ganz anders aus. Dann hätte Ministerin Feller den Landtag unzureichend informiert“, sagt die bildungspolitische Sprecherin der SPD, Dilek Engin, gegenüber der „Rheinischen Post“. Spätestens als die Schwachstelle öffentlich bekannt geworden sei, hätte man im Ministerium ihrer Meinung nach hellhörig werden müssen.
Auch die FDP reagiert mit Kritik: „Diese neue Information hat mich schockiert“, sagt deren schulpolitische Sprecherin Franziska Müller-Rech laut Bericht. „Denn Schulministerin Feller hat noch in der Fragestunde am 3. Mai 2023 im Landtag behauptet, erst vor knapp zwei Wochen von den IT-Problemen bei der Qualis erfahren zu haben. Es steht jetzt der Verdacht im Raum, dass die Ministerin das Parlament nicht wahrheitsgemäß informiert hat.“ Müller-Recht mutmaßt, dass Feller mit der Qualis einen Sündenbock schaffen wolle – um von ihrer politischen Verantwortung abzulenken.
Womöglich ist das Ende der Pannenserie auch noch gar nicht erreicht. „Das sage ich hier ganz offen: Es kann immer in nächster Zeit sein, dass irgendwo was aufploppt“, erklärte Feller Ende April im Landtag. Seit dem 12. Mai veröffentlicht Qualis zudem einen wenig vertrauenserweckenden Hinweis auf seiner Seite: „Sehr geehrte Nutzerinnen und Nutzer, liebe Mitarbeiterinnen und Mitarbeiter, zurzeit stehen einzelne Dienste der QUA-LiS NRW nicht zur Verfügung. Es wird mit Hochdruck daran gearbeitet, diese Dienste zeitnah in einzelnen Schritten wieder bereit zu stellen. Wir bitten um Entschuldigung für die entstehenden Unannehmlichkeiten.“ News4teachers / mit Material der dpa
QUALIS: sind das nicht die, die in Zusammenarbeit mit dem/der Landesdatenschutzbeauftragten versuchen, uns TEAMS wegzunehmen und stattdessen die landeseigene Plattform protegieren (die nicht zuverlässig läuft)?
Wenn die das sind, dann sind das die, die mit dem (Totschlag-?)Argument Datenschutz hausieren gehen.
Also sozusagen, die Böcke, die eine Ministerin zum Gärtner gemacht hat.
Dann wären das auch die, die gaanz genau wissen wich ich meinen privaten PC zu konfigurieren habe, um, genau, die Datenschutzbestimmungen einzuhalten (s.o.).
Dann wären das also diejenigen, die Wasser predigen, aber Wein trinken?
Oder habe ich da was falsch verstanden?
(Ob der mannigfaltigen Ankündigungen der Ministerinnenriege der letzten Jahre, der uneindeutig formulierten Gesetze/Ausführungsbestimmungen und der durch die personell desolate Besetzung nachgeordneter Instanzen fehlenden Fachkompetenz mag manch einer hier den Überblick verlieren)
Von Teams halt ich zwar aus den gegebenen Gründen auch nichts, aber Rest ist schon richtig.
Da die Verantwortlichen das mögliche Datenleck bzw. Datenpanne sicherlich innerhalb des vorgegebenen Zeitfensters (72 Stunden) nach bekanntwerden auch wie vorgegeben bei der Meldebehörde (Landesdatenschutzbeauftragten) mitteilten, ist doch alles nachzuvollziehen.
Expertise ist leider in Kultusministerien so viel, wie Wirkstoff in einem D12-Globuli.
Sie können es halt nicht – und zugeben können sie es auch nicht.
Facharbeit erfordert Fachkräfte. Eine Wärmepumpe lässt man auch nicht von jemand einbauen, der das nebenher zwei Stunden die Woche gegen Anrechnung macht. Auch der Herzchirurg wird nicht durch einen Praktikanten ersetzt.
Esist schon bitter, wenn die Standardsicherung NRW selbst die digitalen Standards nicht sichern kann.
https://de.wikipedia.org/wiki/Quod_licet_Iovi,_non_licet_bovi
Menschen und Gesellschaften ändern sich nicht…
„Der Internetauftritt sei in den letzten neun Jahren komplett in eigener Verantwortung entwickelt worden und entspräche nicht mehr heutigen Anforderungen an Datenschutz. So steht es in einem internen Schreiben an das Schulministerium, dass dem WDR exklusiv vorliegt. Bereits seit 2021 gebe es keine regelmäßigen Updates und Sicherheitspatches mehr.“ liest man online beim WDR -Westpol seit gestern.
Weiter dann:
„Die Schulministerin selbst will die Abgeordneten im Schulausschuss am Mittwoch (07.06.2023) über die Fehleranalyse und die geplanten Konsequenzen informieren.“