DÜSSELDORF. Seit wann wusste das NRW-Schulministerium von IT-Problemen beim Landesinstitut Qualis? Länger als zugegeben – legt jedenfalls ein Schreiben nahe, in dem der Qualis-Direktor das Ministerium über Sicherheitslücken auf der Website des Instituts informiert. Das Ministerium erklärt, dieses Problem habe nichts mit dem Datenleck zu tun, das vor einigen Wochen bekannt wurde. Das heißt: Jetzt sind es schon drei Fälle im Verantwortungsbereich des Schulministeriums, bei denen es massiv bei der IT hapert. Und dieses Haus will die Digitalisierung von mehr als 6.000 Schulen im Land steuern?
Beim „Qualitäts- und UnterstützungsAgentur – Landesinstitut für Schule“ (Qualis), einem Ableger des Schulministeriums im westfälischen Soest, holpert nicht nur der Name. Ein Datenleck der Behörde sorgt seit Wochen für Aufregung. Tausende für den internen Gebrauch gedachte Datensätze von Lehrkräften waren offen im Netz zugänglich – Telefonnummern sowie E-Mail-Adressen und einiges mehr. Wie viele Datensätze genau, ist nach wie vor unklar. Nachdem ein Hacker darauf aufmerksam gemacht hatte, ließ das Schulministerium den Server abschalten. Im Landtag erklärte Schulministerin Dorothea Feller (CDU) mehrfach, erst im April von IT-Problemen beim Qualis erfahren zu haben.
Doch neue Recherchen zeigen: Das Schulministerium war bereits im vergangenen Jahr über IT-Probleme beim Qualis informiert worden. In einem Schreiben von Qualis-Direktor Rüdiger Käuser an das Ministerium mit Datum vom 13. September 2022, das der Deutschen Presseagentur vorliegt, weist er auf gravierende Risiken beim dort für die Homepage der Behörde genutzten Content Management System Contenido hin. Mit Blick auf das unentgeltlich verfügbare Open-Source-Programm schreibt er: „Seit dem Jahr 2021 stellt die Community zur Weiterentwicklung des CMS Contenido keine regelmäßigen Updates und Sicherheitspatches zur Verfügung.“
„Die benötigte Fachexpertise steht im Haus nicht zur Verfügung. Deshalb ist es erforderlich, eine externe Agentur in die Umsetzung dieses Prozesses einzubeziehen“
Zudem verweist Käuser darauf, dass das Bundesamt für die Sicherheit in der Informationstechnik die Verwendung des Programms nicht mehr empfehle. „Um auch zukünftig für die Rechtssicherheit der auf dem Internetangebot der Qualis veröffentlichten umfangreichen Seiten (wie Lehrplannavigator, Informationen über Fortbildungen und Stellenangebote, d. Red.) gewährleisten zu können, ist der Wechsel auf ein zeitgemäßes CMS unvermeidbar.“ Zudem weist das Landesinstitut darauf hin, dass die Umstellung mit den vorhandenen Kapazitäten nicht leistbar sei: „Die benötigte Fachexpertise steht im Haus nicht zur Verfügung. Deshalb ist es erforderlich, eine externe Agentur in die Umsetzung dieses Prozesses einzubeziehen.“
Aus dem Schulministerium hieß es am Sonntag, das Schreiben sei vorhanden, aber nicht der Hausleitung vorgelegt worden, weil es allein den internen Haushaltsgesprächen auf der Arbeitsebene diente, um Mittel für eine geordnete Erneuerung des Webauftritts anzumelden und zu begründen. Es „war keine akute Problemanzeige“.
Heute kam eine neue Erklärung. Die Sicherheitslücke auf der Internetseite von Qualis hat laut Schulministerium nichts mit dem großen Datenleck zu tun, das im April für Aufsehen gesorgt hatte. Das teilte ein Sprecher am frühen Montagabend mit. „Der Internetauftritt hat keine Verbindung zu den Systemen, die von dem Datenleck oder weiteren im Nachgang festgestellten IT-Schwachstellen betroffen waren“, so der Sprecher. Insofern habe ein Schreiben des Qualis-Chefs ans Ministerium aus dem vergangenen September „keine inhaltlichen oder zeitlichen Beziehungen zu der laufenden Aufarbeitung der IT-Schwachstellen“ bei Qualis.
Macht es das besser? Also gab es neben dem Leck bei den Lehrerdaten und dem zu kleinen Server für die Abituraufgaben (die schließlich nur durch Abschalten eines vorher für notwendig erachteten Sicherheitsmodus’ übermittelt werden konnten) ein drittes Minenfeld bei der IT im Verantwortungsbereich von Schulministerin Dorothee Feller (CDU).
„Das sage ich hier ganz offen: Es kann immer in nächster Zeit sein, dass irgendwo was aufploppt“
So oder so: Die Opposition ist entrüstet und verlangt Aufklärung. „Ich bin sehr irritiert über diesen Vorgang. Wenn es seit mehr als einem halben Jahr Hilferufe an das Ministerium gab, dann sieht die Geschichte jetzt auf einmal ganz anders aus. Dann hätte Ministerin Feller den Landtag unzureichend informiert“, sagt die bildungspolitische Sprecherin der SPD, Dilek Engin, gegenüber der „Rheinischen Post“. Spätestens als die Schwachstelle öffentlich bekannt geworden sei, hätte man im Ministerium ihrer Meinung nach hellhörig werden müssen.
Auch die FDP reagiert mit Kritik: „Diese neue Information hat mich schockiert“, sagt deren schulpolitische Sprecherin Franziska Müller-Rech laut Bericht. „Denn Schulministerin Feller hat noch in der Fragestunde am 3. Mai 2023 im Landtag behauptet, erst vor knapp zwei Wochen von den IT-Problemen bei der Qualis erfahren zu haben. Es steht jetzt der Verdacht im Raum, dass die Ministerin das Parlament nicht wahrheitsgemäß informiert hat.“ Müller-Recht mutmaßt, dass Feller mit der Qualis einen Sündenbock schaffen wolle – um von ihrer politischen Verantwortung abzulenken.
Womöglich ist das Ende der Pannenserie auch noch gar nicht erreicht. „Das sage ich hier ganz offen: Es kann immer in nächster Zeit sein, dass irgendwo was aufploppt“, erklärte Feller Ende April im Landtag. Seit dem 12. Mai veröffentlicht Qualis zudem einen wenig vertrauenserweckenden Hinweis auf seiner Seite: „Sehr geehrte Nutzerinnen und Nutzer, liebe Mitarbeiterinnen und Mitarbeiter, zurzeit stehen einzelne Dienste der QUA-LiS NRW nicht zur Verfügung. Es wird mit Hochdruck daran gearbeitet, diese Dienste zeitnah in einzelnen Schritten wieder bereit zu stellen. Wir bitten um Entschuldigung für die entstehenden Unannehmlichkeiten.“ News4teachers / mit Material der dpa
