DÜSSELDORF. NRW-Schulministerin Feller gerät aufgrund der Pannenserie bei der IT in ihrem Verantwortungsbereich immer stärker unter Druck. Ihre Verteidigungsstrategie: Das am Wochenende bekannt gewordene Warnschreiben des Qualis-Direktors ans Ministerium sowie ein zweites, am Montag aufgetauchtes, hätten gar nichts mit der großen Datenpanne zu tun gehabt. Das macht die Sache allerdings nicht besser. Denn offenbar gibt es damit ein weiteres Sicherheitsproblem. Wenn seit Versand der Schreiben im Herbst tatsächlich nichts passiert ist, könnte es politisch eng für die Ministerin werden. Die GEW zeigt sich besorgt angesichts des wachsenden Durcheinanders.
Nordrhein-Westfalens Schulministerin Dorothee Feller (CDU) hat Medienberichte zurückgewiesen, wonach ihr Haus schon im Herbst 2022 von IT-Schwachstellen beim Landessschulinstitut Qualis gewusst haben soll. Feller sagte am Dienstag, dass zwei bekanntgewordene Schreiben zur Beantragung von Haushaltsmitteln für einen neuen Internetauftritt des Instituts nichts mit dem großen Datenleck zu tun hätten, das im April bei Qualis bekannt geworden war.
Sie selbst habe von den zwei Qualis-Schreiben aus den Monaten September und November am Sonntag und Montag erfahren. «Die Überarbeitung einer Internet-Seite ist kein IT-Problem», sagte Feller. Über die Webseite könnten dem Ministerium zufolge im Fall eines Angriffs auch gar keine sensiblen Daten des Instituts abgerufen werden. Zuvor hatte Fellers Ministerium bereits erklärt, dass die Internetseite des in Soest ansässigen Landesinstituts Qualis keine Verbindung zu dem Server habe, der infolge eines Datenlecks und weiterer festgestellter IT-Schwachstellen abgeschaltet werden musste.
In dem Qualis-Brief von September, über den zuerst der WDR berichtet hatte und der auch der Deutschen Presse-Agentur vorliegt, mahnte der Institutschef eine neue Software für die Webseite der Agentur an. Für die genutzte Version gebe es bereits seit 2021 «keine Updates und regelmäßigen Sicherheitspatches mehr», so Direktor Rüdiger Käuser. Von der Existenz eines zweiten Schreibens in dieser Causa ist erst jetzt die Rede.
«Malware ist eine Software, die von Hackern auf der Website platziert wird, um sie zu infizieren und Schäden anzurichten»
Auch wenn es richtig sein mag, dass Hacker keine sensiblen Daten von Qualis über die Website bekommen können – wie Feller betonte –, sind gleichwohl Schäden im Fall eines Angriffs zu befürchten. Und zwar für die Nutzerinnen und Nutzer der Website. «In den meisten Fällen wird die Website von den Hackern mit Malware infiziert», so informiert das IT-Unternehmen one.com. «Malware ist eine Software, die von Hackern auf der Website platziert wird, um sie zu infizieren und Schäden anzurichten.» Zielscheiben seien vor allem Websites, die sich leicht hacken lassen – weil sie zum Beispiel ein veraltetes Content Management System nutzen (wie eben die von Qualis).
«Üblicherweise hacken Hacker eine Website, um an Zahlungsinformationen zu gelangen», so berichtet one.com. Das dürfte bei Qualis keine Rolle spielen. Relevant sind aber beim Landesinstitut für Schule die folgenden Punkte: «Auch Kontaktinformationen sind für Hacker wertvoll. Haben Sie ein Kontaktformular auf der Website, kann dieses von Hackern gehackt werden, um die gesammelten Informationen anschließend weiterzuverkaufen.»
Darüber hinaus könnten Internet-Kriminelle Zugang zum Server erhalten, um die Betreiber der Homepage von ihrer eigenen Website auszuschließen (wäre wohl ein GAU für eine Behörde). «Kommen Hacker an die Informationen der Besucher und Abonnenten, versenden sie gern Spam Mails, welche unter Umständen zu illegalen Websites führen. Auch SEO Spam wird oft praktiziert. Dabei wird die Autorität der Website genutzt, um falsche Informationen bei Google anzuzeigen. Zudem könnten Links auf Ihrer Website eingebaut werden, die Ihre Besucher zu Phishing Seiten führen.» Heißt: Die Behörden-Homepage könnte zur Falle werden.
Die politische Kernfrage lautet nun: Was ist seit den Warnungen des Qualis-Direktors im vergangenen Herbst an das Ministerium passiert? Womöglich nichts – dass das unsichere Content-Management-System erneuert worden wäre, wurde jedenfalls nicht verlautbart. Am Mittwoch soll Feller auf Antrag von SPD und FDP im Schulausschuss des Landtags zu den Briefen von Qualis Stellung nehmen. Unabhängig davon wird die Ministerin dem Ausschuss Konsequenzen aus der IT-Schwachstellenanalyse bei Qualis sowie aus der Download-Panne bei den Abiturklausuren Mitte April vorstellen, die zu einer kurzfristigen Verschiebung der Prüfungen geführt hatte.
«Beschäftigte und Schüler*innen müssen sich darauf verlassen können, dass ihre Daten sicher sind und dass die IT-Infrastruktur verlässlich funktioniert»
Anfang Mai war bekannt geworden, dass mehr als 20.000 Datensätze von dem Qualis-Server ausgelesen worden seien. Meist handelte es sich um Vor- und Zunamen von Lehrkräften oder Qualis-Mitarbeitern, in einigen Fällen konnten auch weitergehende personenbezogene Daten ausgelesen werden. Feller will im Schulausschuss einen Prüfbericht zu den IT-Schwachstellen vorlegen. Ein Qualis-Server war komplett abgeschaltet worden, nachdem weitere Schwachstellen entdeckt worden waren. Feller hatte im Landtag erklärt, dass diese wohl schon seit Jahren bestünden.
Die GEW zeigt sich besorgt über das Chaos. «Beschäftigte und Schüler*innen müssen sich darauf verlassen können, dass ihre Daten sicher sind und dass die IT-Infrastruktur verlässlich funktioniert. Sie müssen sich genauso auf eine transparente und belastbare Kommunikation des Ministeriums verlassen können. Die Entwicklungen besorgen mich. Das Ministerium muss bei den Beschäftigten das Vertrauen in eine verlässliche Arbeit wiederherstellen. Unsere Erwartung ist, dass Ministerin Feller als Expertin für Verwaltung diese Expertise nutzt, um die Strukturen verlässlich zu gestalten. Hier besteht offensichtlich Nachholbedarf», sagte Landesvorsitzende Ayla Çelik.
Und weiter: «Deshalb brauchen wir ein funktionierendes Schulministerium, das auf solche Hinweise wie den der QUA-LiS sofortig und umfassend reagiert. Wir erwarten, dass die Ministerin dafür sorgt, dass das Ministerium den wichtigen Aufgaben gerecht wird und die Personalräte, Datenschutzbeauftragte und Digitalisierungsbeauftragte an den Schulen bei der Aufarbeitung intensiv einbindet, um die Vor-Ort-Sicht zu integrieren.» News4teachers / mit Material der dpa