Nachdem es in der vergangenen Woche zu einer beispiellosen Abi-Panne in Nordrhein-Westfalen kam, versucht das Ministerium für Schule und Bildung, eine gravierende Datenpanne herunterzuspielen. Die zuständige Behörde hat sich zwar zu einer Sicherheitslücke in der IT geäußert gleichwohl wird das volle Ausmaß der Datenpanne nicht wahrheitsgemäß dargestellt. Ob dies absichtlich oder aus Unwissenheit und Inkompetenz der zuständigen IT-Experten geschah ist nicht bekannt.
Ausmaß der Datenpanne nach der Abi-Panne in Nordrhein-Westfalen
Zusätzlich zu der beispiellosen Abi-Panne wurde eine gravierende Datenpanne aufgedeckt. Die Sicherheitsforscherin Lilith Wittmann entdeckte eine Sicherheitslücke in einem Server der QUA-LiS NRW. Es stellte sich heraus, dass etwa 16․000 Benutzernamen, E-Mail-Adressen und Jobinformationen betroffen waren. Allerdings stellt die vom Ministerium für Schule und Bildung veröffentlichte Stellungnahme nicht die Wahrheit dar.
Ministerium für Schule und Bildung versucht die Sicherheitslücke herunterzuspielen
Die Stellungnahme des Ministeriums für Schule und Bildung des Landes Nordrhein-Westfalen zeigt bereits im zweiten Absatz erste Ungereimtheiten. Das Ministerium gibt an, dass eine IT-Schwachstelle auf einem Server der QUA-LiS NRW durch für IT-Sicherheit zuständige Behörden entdeckt wurde die getrennt vom Zentralabitur zu betrachten ist. Über einen Testserver können Schulen ganzjährig Downloadfunktionalitäten ausprobieren um mit Testdokumenten die Funktionsfähigkeit insbesondere schulischer Hard- und Software zu testen. Die Lehrkräfte können jederzeit darauf zugreifen. Zu diesem Zweck erhalten die Nutzerinnen und Nutzer gleichlautende Nutzernamen und Passwort.
Allerdings wurden nach Aussage von Lilith Wittmann nicht nur 500 Nutzerdaten einer anderen, internen Arbeitsplattform der QUA-LiS NRW ausgelesen, allerdings das gesamte Active Directory mit weiterhin als 16․000 Benutzernamen, E-Mail-Adressen und Jobs. Dies hat einige weitere Sicherheitslücken eröffnet und Account-Takeovers von E-Mail-Adressen ermöglicht, deren Domains nicht mehr existierten.
Bedeutung von IT-Sicherheit und Datenschutz in Deutschland
Die Abi-Panne in Nordrhein-Westfalen zeigt erneut. Dass IT-Sicherheit und Datenschutz in Deutschland noch immer in den Kinderschuhen stecken. Die fehlende Kompetenz der zuständigen IT-Experten wird ebenfalls im Netz kritisiert. Die Bildungsministerin Dorothee Feller fordert nun eine detaillierte Analyse des Vorfalls.
Positives nach der Abi-Panne in Nordrhein-Westfalen
Seit der Abi-Panne in Nordrhein-Westfalen am vergangenen Dienstag laufen zumindest alle abiturrelevanten Download-Prozesse wieder normal. Trotzdem bleibt die Datenpanne ein gravierendes Problem das nicht einfach heruntergespielt werden sollte. Eine breite Untersuchung und eine Überprüfung der Sicherheitsmaßnahmen sind dringend erforderlich um zukünftige Datenpannen zu vermeiden.
Kommentare