DÜSSELDORF. Neuer Akt im Dramolett „IT-Pannenserie des NRW-Schulministeriums“: Auftritt der Schulministerin im Schulausschuss. Dort sollte sie sich dafür rechtfertigen, dass – nach dem Abituraufgaben-Download-Debakel und dem Datenleck – nun die Homepage des Landesinstituts für Schule als Sicherheitsrisiko gelten muss. Es wurde peinlich für die Ministerin.
„Wenn ich von meinem privaten Rechner eine E-Mail mit Schülerdaten an einen Kollegen sende, dann ist der Teufel los: im einfachsten Fall ein Gespräch mit der Schulleitung in ungünstigsten Fall (Elternbeschwerde) mit dem zuständigen Leitendem Regierungsschuldirektor bei der Bezirksregierung“ – so schreibt eine empörte Lehrkraft auf News4teachers mit Blick auf die IT-Pannenserie des Schulministeriums NRW.
Tatsächlich legt der jüngste Fall in der Reihe nahe, dass es das Haus nicht ganz so genau nimmt, wenn es sich selbst um den Datenschutz kümmern soll. Im Herbst informierte der Direktor des Landesinstituts für Schule Qualis das Schulministerium nämlich in zwei Schreiben, dass das veraltete Redaktionssystem der Behördenhomepage nicht mehr sicher vor Hackerangriffen sei. Passiert ist seitdem offensichtlich wenig.
„Die Schreiben sind keine Problemanzeige gewesen, sondern die Begründung für den Relaunch der Website“
Heute musste sich Schulministerin Dorothee Feller (CDU) für die öffentlich gewordenen Schreiben im Schulausschuss des Landtags rechtfertigen. Feller sprach laut WDR von einem „Missverständnis“. In der medialen Berichterstattung würden Dinge vermengt. Bei den Schreiben des Qualis an das Ministerium gehe es lediglich um die Website der Behörde. Sie seien „keine Problemanzeige“ gewesen, sondern die Begründung für den Relaunch der Website. Die dort erwähnten Datenschutz-Defizite betreffen, so Feller, lediglich die Cookie-Banner und keine Webanwendung, die eine Eingabe von Daten erfordert. Die IT-Schwachstelle, bei der personenbezogene Daten von Lehrkräften ausgelesen werden konnten, sei hingegen eine Webanwendung, die für Arbeitsprozesse gedacht sei. Zwischen beiden Bereichen gebe es keine Verbindung.
Offensichtlich ist es Feller, die hier etwas missversteht – und das gleich doppelt. Denn, erstens, wenn ein Behördenleiter ans Ministerium schreibt, dass es für das Content Management System der Homepage bereits seit 2021 keine Sicherheitsupdates mehr gebe, dann dürfte das sehr wohl als eine Problemanzeige gelten. Denn der geschilderte Sachverhalt macht einen erfolgreichen Hackerangriff auf die Infrastruktur, die dann kriminell missbraucht werden kann, sehr viel wahrscheinlicher. Und, zweitens, gibt es wohl doch eine Verbindung zwischen den Anwendungen, die vom Datenleck (bei dem persönliche Daten von mindestens 20.000 Lehrkräften abgeflossen sind) betroffen sind, und der unsicheren Homepage.
Im Ausschuss ereignete sich nämlich eine für Feller peinliche Szene, wie die „Rheinische Post“ berichtet: Nachdem der Leiter der IT-Abteilung im Ministerium erklärt hatte, seines Wissens nach gebe es keine Verlinkung von der Qualis-Website zu den vom Datenleck betroffenen Web-Anwendungen – damit Fellers Version also bestätigte –, konnte der SPD-Abgeordnete Frank Müller mit Hilfe eines Internet-Seitenarchivs zeigen, dass die Webanwendungen über die Qualis-Seiten sehr wohl zu erreichen waren. Das überraschte Ministerium kündigte dazu „weitere Informationen“ für die nächste Ausschusssitzung an.
„Offenbar hat man die Hilferufe des Landesinstituts an das Ministerium schlichtweg nicht ernst genommen“
„Diese Sitzung heute war der Versuch eines Ablenkungsmanövers“, meint deshalb auch die schulpolitische Sprecherin der SPD Dilek Engin. „Offenbar hat man die Hilferufe des Landesinstituts an das Ministerium schlichtweg nicht ernst genommen und ist diesen auch nicht nachgegangen. Die Ministerin argumentiert jetzt, dass der Inhalt der Schreiben nichts mit der IT-Schwachstelle bei der Qua-LiS zu tun habe. Wir fragen uns aber: Warum ist das Ministerium dieser Spur nicht trotzdem nachgegangen? Schließlich sind die Nutzer der Qua-LiS-Seiten auch auf diesem Weg auf den nunmehr abgeschalteten Server gelangt. Das hat die Sitzung heute eindeutig zu Tage gefördert.“
Weiter erklärte sie: „Hätte man sich des Problems also angenommen, hätte man bestenfalls auch realisieren können, dass das gesamte System der Web-Angebote von Qua-LiS betroffen ist. Ein solches Problembewusstsein herrschte dafür aber offenbar nicht. Von diesem Versäumnis können die heutigen Ausführungen nicht ablenken. Wir hätten auch erwartet, dass wir im Zuge der Aufarbeitung des Datenlecks über die Hilferufe der Qua-LiS informiert worden wären. Das ist aber nicht passiert. Mit Transparenz hat das wenig zu tun.“
Mit schneller Problemlösung auch nicht. Tatsächlich muss Qualis nach wie vor mit dem veralteten Content-Management-System ohne Sicherheitsupdates arbeiten (schaut jetzt aber genauer hin, heißt es). Dass das jetzt auch noch öffentlich wurde, verbessert die Sicherheitslage allerdings nicht – Hacker dürften sich über die Information freuen. News4teachers