DÜSSELDORF. NRW-Schulministerin Feller gerät aufgrund der Pannenserie bei der IT in ihrem Verantwortungsbereich immer stärker unter Druck. Ihre Verteidigungsstrategie: Das am Wochenende bekannt gewordene Warnschreiben des Qualis-Direktors ans Ministerium sowie ein zweites, am Montag aufgetauchtes, hätten gar nichts mit der großen Datenpanne zu tun gehabt. Das macht die Sache allerdings nicht besser. Denn offenbar gibt es damit ein weiteres Sicherheitsproblem. Wenn seit Versand der Schreiben im Herbst tatsächlich nichts passiert ist, könnte es politisch eng für die Ministerin werden. Die GEW zeigt sich besorgt angesichts des wachsenden Durcheinanders.
Nordrhein-Westfalens Schulministerin Dorothee Feller (CDU) hat Medienberichte zurückgewiesen, wonach ihr Haus schon im Herbst 2022 von IT-Schwachstellen beim Landessschulinstitut Qualis gewusst haben soll. Feller sagte am Dienstag, dass zwei bekanntgewordene Schreiben zur Beantragung von Haushaltsmitteln für einen neuen Internetauftritt des Instituts nichts mit dem großen Datenleck zu tun hätten, das im April bei Qualis bekannt geworden war.
Sie selbst habe von den zwei Qualis-Schreiben aus den Monaten September und November am Sonntag und Montag erfahren. «Die Überarbeitung einer Internet-Seite ist kein IT-Problem», sagte Feller. Über die Webseite könnten dem Ministerium zufolge im Fall eines Angriffs auch gar keine sensiblen Daten des Instituts abgerufen werden. Zuvor hatte Fellers Ministerium bereits erklärt, dass die Internetseite des in Soest ansässigen Landesinstituts Qualis keine Verbindung zu dem Server habe, der infolge eines Datenlecks und weiterer festgestellter IT-Schwachstellen abgeschaltet werden musste.
In dem Qualis-Brief von September, über den zuerst der WDR berichtet hatte und der auch der Deutschen Presse-Agentur vorliegt, mahnte der Institutschef eine neue Software für die Webseite der Agentur an. Für die genutzte Version gebe es bereits seit 2021 «keine Updates und regelmäßigen Sicherheitspatches mehr», so Direktor Rüdiger Käuser. Von der Existenz eines zweiten Schreibens in dieser Causa ist erst jetzt die Rede.
«Malware ist eine Software, die von Hackern auf der Website platziert wird, um sie zu infizieren und Schäden anzurichten»
Auch wenn es richtig sein mag, dass Hacker keine sensiblen Daten von Qualis über die Website bekommen können – wie Feller betonte –, sind gleichwohl Schäden im Fall eines Angriffs zu befürchten. Und zwar für die Nutzerinnen und Nutzer der Website. «In den meisten Fällen wird die Website von den Hackern mit Malware infiziert», so informiert das IT-Unternehmen one.com. «Malware ist eine Software, die von Hackern auf der Website platziert wird, um sie zu infizieren und Schäden anzurichten.» Zielscheiben seien vor allem Websites, die sich leicht hacken lassen – weil sie zum Beispiel ein veraltetes Content Management System nutzen (wie eben die von Qualis).
«Üblicherweise hacken Hacker eine Website, um an Zahlungsinformationen zu gelangen», so berichtet one.com. Das dürfte bei Qualis keine Rolle spielen. Relevant sind aber beim Landesinstitut für Schule die folgenden Punkte: «Auch Kontaktinformationen sind für Hacker wertvoll. Haben Sie ein Kontaktformular auf der Website, kann dieses von Hackern gehackt werden, um die gesammelten Informationen anschließend weiterzuverkaufen.»
Darüber hinaus könnten Internet-Kriminelle Zugang zum Server erhalten, um die Betreiber der Homepage von ihrer eigenen Website auszuschließen (wäre wohl ein GAU für eine Behörde). «Kommen Hacker an die Informationen der Besucher und Abonnenten, versenden sie gern Spam Mails, welche unter Umständen zu illegalen Websites führen. Auch SEO Spam wird oft praktiziert. Dabei wird die Autorität der Website genutzt, um falsche Informationen bei Google anzuzeigen. Zudem könnten Links auf Ihrer Website eingebaut werden, die Ihre Besucher zu Phishing Seiten führen.» Heißt: Die Behörden-Homepage könnte zur Falle werden.
Die politische Kernfrage lautet nun: Was ist seit den Warnungen des Qualis-Direktors im vergangenen Herbst an das Ministerium passiert? Womöglich nichts – dass das unsichere Content-Management-System erneuert worden wäre, wurde jedenfalls nicht verlautbart. Am Mittwoch soll Feller auf Antrag von SPD und FDP im Schulausschuss des Landtags zu den Briefen von Qualis Stellung nehmen. Unabhängig davon wird die Ministerin dem Ausschuss Konsequenzen aus der IT-Schwachstellenanalyse bei Qualis sowie aus der Download-Panne bei den Abiturklausuren Mitte April vorstellen, die zu einer kurzfristigen Verschiebung der Prüfungen geführt hatte.
«Beschäftigte und Schüler*innen müssen sich darauf verlassen können, dass ihre Daten sicher sind und dass die IT-Infrastruktur verlässlich funktioniert»
Anfang Mai war bekannt geworden, dass mehr als 20.000 Datensätze von dem Qualis-Server ausgelesen worden seien. Meist handelte es sich um Vor- und Zunamen von Lehrkräften oder Qualis-Mitarbeitern, in einigen Fällen konnten auch weitergehende personenbezogene Daten ausgelesen werden. Feller will im Schulausschuss einen Prüfbericht zu den IT-Schwachstellen vorlegen. Ein Qualis-Server war komplett abgeschaltet worden, nachdem weitere Schwachstellen entdeckt worden waren. Feller hatte im Landtag erklärt, dass diese wohl schon seit Jahren bestünden.
Die GEW zeigt sich besorgt über das Chaos. «Beschäftigte und Schüler*innen müssen sich darauf verlassen können, dass ihre Daten sicher sind und dass die IT-Infrastruktur verlässlich funktioniert. Sie müssen sich genauso auf eine transparente und belastbare Kommunikation des Ministeriums verlassen können. Die Entwicklungen besorgen mich. Das Ministerium muss bei den Beschäftigten das Vertrauen in eine verlässliche Arbeit wiederherstellen. Unsere Erwartung ist, dass Ministerin Feller als Expertin für Verwaltung diese Expertise nutzt, um die Strukturen verlässlich zu gestalten. Hier besteht offensichtlich Nachholbedarf», sagte Landesvorsitzende Ayla Çelik.
Und weiter: «Deshalb brauchen wir ein funktionierendes Schulministerium, das auf solche Hinweise wie den der QUA-LiS sofortig und umfassend reagiert. Wir erwarten, dass die Ministerin dafür sorgt, dass das Ministerium den wichtigen Aufgaben gerecht wird und die Personalräte, Datenschutzbeauftragte und Digitalisierungsbeauftragte an den Schulen bei der Aufarbeitung intensiv einbindet, um die Vor-Ort-Sicht zu integrieren.» News4teachers / mit Material der dpa
Echte Fachleute eben.
Alle(!) NRW-Lehrkräfte sollten sofort Auskunft nach DSGVO über die von ihnen dort gespeicherten Daten beantragen und sich schriflich versichern lassen, dass entweder keine Daten abgeflossen sind oder Auskunft verlangen, welche Daten potenziell abgeflossen sein könnten um sich weitere rechtliche Schritte und gegebenenfalls Schadensersatz für erlittenen materiellen und immateriellen Schaden vorzubehalten!
Vollkommen korrekt. Ich überlege auch Beschwerde beim LDI einzureichen.
Wo kann ich ein Musterschreiben bekommen? Uns wird nahezu täglich mit der Datenschutzkeule gedroht und in Düsseldorf selbst bzw. in Soest ist alles so egal, dass sich niemand vernünftig darum kümmert.
War die Frage ernst gemeint?
Eingabe in den „Internetbrauser“ des Vertrauens:
Musterbrief DSGVO Auskunft
und Suchanfrage starten …
Ein Musterbrief wäre hier Gold wert.
Was machen GEW und Philologen eigentlich in dieser Hinsicht?
Es ist höchste Zeit für den Rücktritt von Frau Feller … Aber wahrscheinlich hat sie ja alles so “ vorgefunden “ und Yvonne Gebauer ist schuld .
Ernsthaft? In der kurzen Zeit Frau Feller natürlich alles alleine verbockt….
Das Schulministerium macht schon seit Ewigkeiten keine gute Figur. Wenn ich da nur an Frau Löhrmann denke ….
Ich kann mir durchaus vorstellen, dass im gesamten System viel Mist existiert, den man ersteinmal jahrelang ausmisten müsste….
Aber Hauptsache sofort Rücktritte fordern. Der Wähler entscheidet regelmäßig.
Ach Sylvia…
Wir vermissen Dich –nicht.
Genau, Frau feller hat jetzt zugegeben, dass es aus September einen Brief gibt, in dem über starke Rauchentwicklung berichtet wird. Dass es brennt, stand ja gar nicht in dem Brief. Woher sollte sie von dem Feuer wissen?
CDU ==> Club der Uninspirierten
Btw Löhrmann geriet unter Beschuss der landeselternschaft der GY, da sie – um den Schulfrieden zu wahren – am G8 festhielt, das sie von Schwarz-Gelb in die Wiege gelegt bekommen hatte. Die neoliberalen Kräfte der INSM wollten dem Arbeitskräftemarkt jüngeres Frischfleisch zu führen.
Da das ja nicht geklappt hat, sind sie jetzt wieder dabei „Gammelfleisch“ jenseits des MHD zu requirieren. Dabei übersehen die geflissentlich, dass die Jahrgänge bis Ende der 60er-Jahre größtenteils mit 15 Jahren in das Arbeitsleben eintraten (Hauptschulabschluss nach 9 Vollzeitschulbesuchsjahren). Wer also 1961 geboren worden ist, ist mit großer Wahrscheinlichkeit nach dem besuch der HS 1976 in die damalige „Lehre“ gekommen und hat Rentenbeiträge gezahlt. Der früheste Renteneintritt dieser Erwerbspersonen konnte ohne Abschläge somit erst 2021 plus einem Jahr und sechs Monaten erfolgen. D.h. wer im Juni 1961 geboren worden ist, konnte folglich erst nach 46,5 Jahren ununterbrochener Erwerbsbiographie in den vorzeitigen Ruhestand eintreten. Die erste rentenzahlung gabS also erst im Januar diesen Jahres.
Was Merz und Spahn und auch Wüst zu Populismus sagen? „Ja, das können wir!“
Das fällt Feller jetzt auf die Füße, ohne dass Sie es initiiert hätte.
Eine Rücktrittsforderung ist (noch) ganz und gar unangemessen.
Nicht das IT-Problem fällt auf ihre Füße sondern der Umgang mit diesem Problem.
Die tatsache, dass sie angeblich von dem QUA-LIS-Schreiben aus Septemberkeine Ahnung hatte bzw. dessen Inhalt nicht richtig eingeordnet hat, zeigt doch, dass zum einen mit der Kommunikation innerhalb des Geschäftsbereiches des MSB und zum anderen mit der Kommunikation mit dem Parlament und der Öffentlichkeit etwas nicht stimmt. Und genau das fällt in ihren Arbeitsbereich, denn sie ist die personelle Spitze der obersten Schulbehörde in NRW.
Wenn ich von meinem privaten Rechner eine Email mit Schülerdaten an einen Kollegen sende, dann ist der Teufel los, Im einfachsten Fall ein Gespräch mit der SL in ungünstigsten Fall (Elternbeschwerde) mit dem zuständigen LRSD bei der Bez.-Reg.
Externe Fachleute hinzuziehen?
Sind die jetzt ganz „out of their mind„, da im Ministerium?
Das kostet doch Geld!
Und Bildung darf doch kein Geld kosten!
Das muss sofort unterbunden werden, dass hier am Ende noch Geld ausgegeben wird.
Warnung: dieses Geld könnte dann für eine weitere Planstelle im miniSterium fehlen!
Es würde dann auch an anderer Stelle fehlen – etwa für „Studien“!
@447
Oder für „Marketainment“ – die von dem „miniSterium“ (danke, @AnKa) erfundene Mischung aus Marketing und Entertainment: Wer erinnert sich nicht (gerne?) an die dolle unterhaltsame und – wie wir alle gemerkt haben – bahnbrechend dolle erfolgreiche Werbeaktion mit Sprüchen wie
„Job mit Pultstatus? – Gönn‘ dir!“
„Schlau machen – Lehrer werden.“
Wenigstens auf den letzten Slogan springen nach all der Zeit offensichtlich immer noch immer mehr junge Leute an, zumindest was den Teil „Schlau machen“ angeht – im Ergebnis selbsterklärend. 😉
Und wenn ich mich da richtig erinnere, kam auch irgendwann und irgendwo mal eine Kurzmeldung dazu, dass die beauftragte Agentur nicht ganz billig war …
https://www.land.nrw/pressemitteilung/ministerin-gebauer-ein-job-mit-pultstatus-lehrerin-oder-lehrer-werden-nrw-lohnt
… von 2018, inklusive Lehrerbedarfsprognose …
Ich bin auch der Ansicht, dass man gut – und sogar kostenneutral – „beraten“ ist, wenn man mehr bzw. überhaupt einmal auf direkte Kommunikation setzt und ehrlich und vor allem direkt mit den tatsächlich betroffenen Personen redet.
Das ist etwas anderes als wortreiche, aber im Kern recht sinnfreie Emails – während Pandemie-Zeiten auch gerne zur Unzeit nach 22.00 Uhr versendet – und es ist vor allem etwas anderes als Heerscharen von Beratern, Kommunikations-Experten 😉 , Werbeagenturen und sonstigem den „Wasserkopf“ immer stärker aufpumpenden Inhabern von Phantasie-Pöstchen das an anderer Stelle bitter benötigte Geld in den Allerwertesten zu stopfen für … tja, für was eigentlich? Erfolge können es ja nicht (gewesen) sein …
FACHleute!
Für das Content Management System der Homepage gibt bereits seit 2021 keine Sicherheitsupdates mehr, liest man im heutigen N4T-Bericht.
CMS (Inhaltsverwaltungssystem = Software zur gemeinschaftlichen Erstellung, Bearbeitung, Organisation und Darstellung digitaler Inhalte) werden zum Bertieb von Webseiten benötigt und das schon zwei Jahre ohne Sicherheitsupdate(s) ist schon interessant.