Nach der ziemlich peinlichen Abi-Panne in NRW von letzter Woche versucht das Ministerium für Schule und Bildung eine Datenpanne herunterzureden.
Nach der fast schon historischen und peinlichen Abi-Panne in NRW, von der Zehntausende Schülerinnen und Schüler betroffen waren, hat das zuständige Schulministerium nun zu einer Sicherheitslücke in der IT Stellung genommen.
Allerdings wird in der Stellungnahme das ganze Ausmaß der Datenpanne nicht wahrheitsgemäß dargestellt. Ob dies absichtlich oder aus Unwissenheit oder gar Inkompetenz der zuständigen IT geschah, ist derzeit nicht bekannt.
Nach Abi-Panne in NRW: Datenpanne mit Benutzernamen, E-Mail-Adressen und Informationen zu Jobs
Nach dem Vorwurf des Kommunikations- und Verwaltungsversagens des Schulministeriums NRW bei der Abi-Panne von letzter Woche zeichnet sich nun ein weiteres Versagen der Schulverwaltung ab. Denn zeitgleich mit der Download-Panne wurde auch eine gravierende Datenpanne bekannt.
Wie sich nun herausgestellt hat, war der nicht funktionierende Download der Abiturprüfungen nur die Spitze des Eisbergs. Denn ein für jedermann zugänglicher Server offenbarte noch viel mehr.
Die Sicherheitsforscherin Lilith Wittmann hat eine Sicherheitslücke in einem Server der QUA-LiS NRW entdeckt. Demnach waren an die 16.000 Benutzernamen, E-Mail-Adressen und Jobinformationen betroffen. In der vom Ministerium für Schule und Bildung veröffentlichten Stellungnahme passt aber so einiges nicht zusammen.
Das Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen spielt die Sicherheitslücke herunter
Bereits im zweiten Absatz der Stellungnahme zeigen sich erste „Fehler“ in der Darstellung der Ereignisse. Das Ministerium für Schule und Bildung teilt mit:
Ende vergangener Woche wurde auf einem Server der QUA-LiS NRW durch für IT-Sicherheit zuständige Behörden eine IT-Schwachstelle entdeckt, die getrennt vom Zentralabitur zu betrachten ist. Hier haben Schulen über einen Testserver ganzjährig die Möglichkeit, Downloadfunktionalitäten auszuprobieren, um mit Testdokumenten die Funktionsfähigkeit insbesondere schulischer Hard- und Software zu testen. Die Lehrkräfte können jederzeit darauf zugreifen. Zu diesem Zweck erhalten die Nutzerinnen und Nutzer gleichlautende Nutzernamen und Passwort.
schulministerium.nrw
Dass die Sicherheitslücke nach der Abi-Panne in NRW „durch für IT-Sicherheit zuständige Behörden“ festgestellt wurde, ist aber nur der Anfang vieler Falschaussagen.
Auch die darauffolgende Aussage des Ministeriums entspricht leider nicht den Tatsachen: „Über dieses System bestand die Möglichkeit, 500 Nutzerdaten einer anderen, internen Arbeitsplattform der QUA-LiS NRW auszulesen – zum Beispiel Nutzername und E-Mail-Adresse. Diese Möglichkeit des Zugriffs ist umgehend nach Bekanntwerden am vergangenen Donnerstag unterbunden worden. Die Nutzer sind zwischenzeitlich entsprechend informiert und gebeten worden, vorsorglich ihre Passwörter zu ändern.„
Lilith Wittmann bestätigt, dass diese Behauptungen nicht stimmen, und meldet sich auf Twitter zu Wort: „Das waren mehr als 500 – nämlich euer gesamtes Active Directory – >16000 Benutzer mit Namen, E-Mails und Jobs – und das hat einige andere interessante Sicherheitslücken eröffnet. Zum Beispiel Account-Takeovers von E-Mail-Adressen, deren Domains nicht mehr existierten.„
Egal, ob Unwissenheit oder Inkompetenz der zuständigen Behörden, das wahre Ausmaß der Sicherheitslücke nach der Abi-Panne in NRW scheint dem Ministerium für Schule und Bildung noch nicht bewusst zu sein.
Abi-Panne in NRW noch nicht peinlich genug
Leider zeigt sich wieder einmal, dass IT-Sicherheit und Datenschutz hierzulande noch in den „Kinderschuhen“ zu stecken scheinen. Und als wäre die Abi-Panne in NRW nicht schon peinlich genug. Nun macht sich das Netz auch noch – zu Recht – über die scheinbar mangelnde Kompetenz der zuständigen IT-Experten lustig.
Die Bildungsministerin Dorothee Feller fordert nun eine detaillierte Analyse des Vorfalls. Aber es gibt auch Positives zu berichten. Seit der Abi-Panne in Nordrhein-Westfalen am vergangenen Dienstag laufen zumindest alle abiturrelevanten Download-Prozesse wieder normal.