Nimmt es das Schulministerium mit dem Datenschutz selbst nicht so genau?

8

DÜSSELDORF. Neuer Akt im Dramolett „IT-Pannenserie des NRW-Schulministeriums“: Auftritt der Schulministerin im Schulausschuss. Dort sollte sie sich dafür rechtfertigen, dass – nach dem Abituraufgaben-Download-Debakel und dem Datenleck – nun die Homepage des Landesinstituts für Schule als Sicherheitsrisiko gelten muss. Es wurde peinlich für die Ministerin.

„Missverständnis“: NRW-Schulministerin Dorothee Feller (CDU). Foto: MSB NRW / Günter Ortmann

„Wenn ich von meinem privaten Rechner eine E-Mail mit Schülerdaten an einen Kollegen sende, dann ist der Teufel los: im einfachsten Fall ein Gespräch mit der Schulleitung in ungünstigsten Fall (Elternbeschwerde) mit dem zuständigen Leitendem Regierungsschuldirektor bei der Bezirksregierung“ – so schreibt eine empörte Lehrkraft auf News4teachers mit Blick auf die IT-Pannenserie des Schulministeriums NRW.

Tatsächlich legt der jüngste Fall in der Reihe nahe, dass es das Haus nicht ganz so genau nimmt, wenn es sich selbst um den Datenschutz kümmern soll. Im Herbst informierte der Direktor des Landesinstituts für Schule Qualis das Schulministerium nämlich in zwei Schreiben, dass das veraltete Redaktionssystem der Behördenhomepage nicht mehr sicher vor Hackerangriffen sei. Passiert ist seitdem offensichtlich wenig.

„Die Schreiben sind keine Problemanzeige gewesen, sondern die Begründung für den Relaunch der Website

Heute musste sich Schulministerin Dorothee Feller (CDU) für die öffentlich gewordenen Schreiben im Schulausschuss des Landtags rechtfertigen. Feller sprach laut WDR von einem „Missverständnis“. In der medialen Berichterstattung würden Dinge vermengt. Bei den Schreiben des Qualis an das Ministerium gehe es lediglich um die Website der Behörde. Sie seien „keine Problemanzeigegewesen, sondern die Begründung für den Relaunch der Website. Die dort erwähnten Datenschutz-Defizite betreffen, so Feller, lediglich die Cookie-Banner und keine Webanwendung, die eine Eingabe von Daten erfordert. Die IT-Schwachstelle, bei der personenbezogene Daten von Lehrkräften ausgelesen werden konnten, sei hingegen eine Webanwendung, die für Arbeitsprozesse gedacht sei. Zwischen beiden Bereichen gebe es keine Verbindung.

Offensichtlich ist es Feller, die hier etwas missversteht – und das gleich doppelt. Denn, erstens, wenn ein Behördenleiter ans Ministerium schreibt, dass es für das Content Management System der Homepage bereits seit 2021 keine Sicherheitsupdates mehr gebe, dann dürfte das sehr wohl als eine Problemanzeige gelten. Denn der geschilderte Sachverhalt macht einen erfolgreichen Hackerangriff auf die Infrastruktur, die dann kriminell missbraucht werden kann, sehr viel wahrscheinlicher. Und, zweitens, gibt es wohl doch eine Verbindung zwischen den Anwendungen, die vom Datenleck (bei dem persönliche Daten von mindestens 20.000 Lehrkräften abgeflossen sind) betroffen sind, und der unsicheren Homepage.

Anzeige

Im Ausschuss ereignete sich nämlich eine für Feller peinliche Szene, wie die „Rheinische Post“ berichtet: Nachdem der Leiter der IT-Abteilung im Ministerium erklärt hatte, seines Wissens nach gebe es keine Verlinkung von der Qualis-Website zu den vom Datenleck betroffenen Web-Anwendungen – damit Fellers Version also bestätigte –, konnte der SPD-Abgeordnete Frank Müller mit Hilfe eines Internet-Seitenarchivs zeigen, dass die Webanwendungen über die Qualis-Seiten sehr wohl zu erreichen waren. Das überraschte Ministerium kündigte dazu „weitere Informationen“ für die nächste Ausschusssitzung an.

„Offenbar hat man die Hilferufe des Landesinstituts an das Ministerium schlichtweg nicht ernst genommen“

„Diese Sitzung heute war der Versuch eines Ablenkungsmanövers“, meint deshalb auch die schulpolitische Sprecherin der SPD Dilek Engin. „Offenbar hat man die Hilferufe des Landesinstituts an das Ministerium schlichtweg nicht ernst genommen und ist diesen auch nicht nachgegangen. Die Ministerin argumentiert jetzt, dass der Inhalt der Schreiben nichts mit der IT-Schwachstelle bei der Qua-LiS zu tun habe. Wir fragen uns aber: Warum ist das Ministerium dieser Spur nicht trotzdem nachgegangen? Schließlich sind die Nutzer der Qua-LiS-Seiten auch auf diesem Weg auf den nunmehr abgeschalteten Server gelangt. Das hat die Sitzung heute eindeutig zu Tage gefördert.“

Weiter erklärte sie: „Hätte man sich des Problems also angenommen, hätte man bestenfalls auch realisieren können, dass das gesamte System der Web-Angebote von Qua-LiS betroffen ist. Ein solches Problembewusstsein herrschte dafür aber offenbar nicht. Von diesem Versäumnis können die heutigen Ausführungen nicht ablenken. Wir hätten auch erwartet, dass wir im Zuge der Aufarbeitung des Datenlecks über die Hilferufe der Qua-LiS informiert worden wären. Das ist aber nicht passiert. Mit Transparenz hat das wenig zu tun.“

Mit schneller Problemlösung auch nicht. Tatsächlich muss Qualis nach wie vor mit dem veralteten Content-Management-System ohne Sicherheitsupdates arbeiten (schaut jetzt aber genauer hin, heißt es). Dass das jetzt auch noch öffentlich wurde, verbessert die Sicherheitslage allerdings nicht – Hacker dürften sich über die Information freuen. News4teachers

Schulministerin wiegelt ab: Unsichere Behörden-Website ist für die Behörde kein Sicherheitsproblem (für die Nutzer allerdings schon)

Anzeige


Info bei neuen Kommentaren
Benachrichtige mich bei

8 Kommentare
Älteste
Neuste Oft bewertet
Inline Feedbacks
View all comments
Realist
9 Monate zuvor

Auch wenn Frau Feller vielleicht viele „Altlasten“ von ihren Vorgängerinnen übernommen hat: Sie muss jetzt mit „eisernem“ Besen in ihrem Ministerium aufräumen und die Verantwortlichen auf Dienstposten versetzen, in denen diese weniger Schaden anrichten können. D.h. kein „goldener Handschlag“ mit großzügigem Vorruhestand, sondern „Aktensortieren“, Degradierung, Gehaltskürzungen. Geht bei Beamten alles, wenn man will. Ob sie dazu den Mut hat? Oder lässt sie alles weiterlaufen im gewohnten Mief?

gehtsnoch
9 Monate zuvor

„…die Cookie-Banner und keine Webanwendung, die eine Eingabe von Daten erfordert…“

Im letzten Bericht war es noch lediglich eine „Internetseite“. Ich würde als Nutzer eine erweiterte Auskunft nach DSGVO dieser „Webanwendungen“ einfordern und dabei den Anspruch auf Herausgabe einer Kopie der Daten nach Art. 15 Abs. 3 Satz 1 DSGVO geltend machen.

„Was ist ein Cookie Banner?
Cookie Banner oder auch Cookie Layer sind Werkzeuge, die auf Webseiten und in Apps eingesetzt werden, um die Einwilligung von Nutzern zur Datenverarbeitung einzuholen. Mit einem solchen Banner sollen Nutzer in der Lage sein, Cookies gezielt annehmen oder ablehnen zu können.“ (datenschutz.org)

Die Zustimmung mittels Cookie Banner ist also eine völlig datenlose Art von Standardvorgang. Zumindest im MSB, wo scheinbar weder eine IP-Adresse des Login, noch Nutzerdaten im Einwilligungsprozess abgespeichert werden. Bei DSGVO-konforme Cookie Banner bin ich besser mal still.

Last edited 9 Monate zuvor by gehtsnoch
Einer
9 Monate zuvor
Antwortet  gehtsnoch

Nicht zu vergessen das Server-Betriebssystem das nicht mehr mit Updates versorgt wurde. In einem Radiobericht auf WDR2 wurde angedeutet es wäre aus den Anfängen der Digitalisierung. NT-Server oder doch schon W2K? Ein solches Betriebssystem verstößt auch gegen die DSGVO. Müsste Artikel 32 sein. Technik die auf dem Stand der Technik ist. Ein Unternehmen hätte schon eine Klage auf dem Tisch. Aber in Deutschland werden Behörden wegen Datenschuztvergehen nicht belangt. Frau Feller wäre gut daran beraten den Leiter von QUALIS sofort zu ersetzen. Er trägt die Verantwortung für seinen Laden. Natürlich muss der IT-Dienstleister auch weg.

gehtsnoch
9 Monate zuvor
Antwortet  Einer

„Verantwortliche“ sind zum Schutz der personenbezogenen Daten verpflichtet!
Verantwortung für den Datenschutz nach DSGVO im Unternehmen trägt der für das Unternehmen bzw. die juristische Person stets Vertretungsberechtigte, in der Regel also der Geschäftsführer, Vorstand oder allgemein ein Manager. Bis hierher kaum missverständlich, oder?

Nicht jedes Ministerium wird beim Datenschutz scheinbar durch ein an der Spitze dieser Behörde stehende(n) Minister/Ministerin in deren eigener Verantwortung als natürliche Person vertreten/geleitet. Kann ja sein, n4t wird sicher zum weiteren Dramolett der Pannen berichten.

447
9 Monate zuvor
Antwortet  gehtsnoch

Eher werden Lehrer fertig gemacht werden, die solche Anfragen stellen…als dass solche …ich weiß nicht wie man es ausdrücken soll…titanischen Inkompetenzen (oder Mutwilligkeit?) aufgeklärt und bestraft wird.

Hans Malz
9 Monate zuvor

Ich arbeite weiter mit Windows XP ohne Sicherheitsupdates, schaue aber jetzt genauer hin. Ohne Worte.

Ureinwohner Nordost
9 Monate zuvor

Nicht mein Problem.
Bestimmt wird alles gut?
🙂

447
9 Monate zuvor

Veraltetes CMS in einer Landesbehörde – sowas von facepalm-Moment…wer macht sowas? Warum?!?
Aber hey, im kulturellen (Schein)Arsenal der angeschlossenen Presse kann ja dann das meme des „russischen Hackers“ gezogen werden. Vielleicht glaubt es noch irgendwer.

Oder auch nicht…einfach nur traurig, diese massive Inkompetenz.

Und mich bestärkt es noch mehr darin, bis 1 mm vor „Befehlsverweigerung“ (oder wie immer das für Lehrer heißt) von allem IT-Kram des Landes konsequent die Finger zu lassen. Logineoblässt grüssen…