In den vergangenen Wochen bestimmten Schlagzeilen zu den verschobenen Abiturprüfungen durch einen Fehler des IT-Dienstleisters und IT-Probleme beim Landesinstitut QUA-Lis die Landespolitik. Durch zügiges Handeln des Schulministeriums konnten die Klausuren bereits zwei Tage später nachgeholt werden. Genauso entschlossen treibt Ministerin Feller nun eine umfassendes Ursachenforschung der IT-Sicherheitslücken voran, die – wie mittlerweile bekannt – mindestens schon seit 2019 bestehen.
Beim Download der schriftlichen Abituraufgaben für das Zentralabitur gab es am 18. April massive technische Störung beim IT-Dienstleister. Betroffen war der Download für die Prüfungsfächer an dem darauf folgenden Mittwoch, den 19. April 2023. Die technische Störung konnte nicht mehr kurzfristig behoben werden, sodass die für Mittwoch vorgesehenen schriftlichen Abiturprüfungen auf den bis dato prüfungsfreien Freitag, 21. April 2023, verschoben werden mussten. Die Schulen wurden fortlaufend über die Störung und am Abend über die Verschiebung informiert.
An besagtem Freitag hatte ich zu einer Sondersitzung des Schulausschusses eingeladen, damit wir uns als Landesparlament gemeinsam mit dem Schulministerium über die kurzfristige Verschiebung der Abiturprüfungen von Mittwoch auf den heutigen Freitag austauschen und Sachverhaltsaufklärung betreiben können.
Ministerin Feller drückte dabei ihr großes Bedauern aus und bat alle Abiturienten und Lehrkräfte um Entschuldigung. Sie gab uns einen lückenlosen und transparenten Überblick über die Vorbereitung für den Download der Prüfungen, die Störungen, die intensiven Versuche, diesen Störungen durch – letztlich leider nicht erfolgreichen – Alternativlösungen zu begegnen und die Kommunikation des Ministeriums. Auch als Ausschuss haben wir unser großes Bedauern ausgedrückt – so etwas wünscht man niemandem. Ich bin persönlich dankbar über die transparente Kommunikation und ehrliche Fehleranalyse unserer Schulministerin.
Am 19. April konnte der Fehler seitens des IT-Dienstleisters behoben werden und alle Downloads funktionieren seitdem einwandfrei, sodass die Abiturprüfungen seither ohne Probleme oder Einschränkungen durchgeführt werden können.
Im Rahmen der umfassenden Überprüfungen wurde auf einem Server der QUA-LiS NRW durch für IT-Sicherheit zuständige Behörden eine IT-Schwachstelle entdeckt, die allerdings in keinem Zusammenhang zum Zentralabitur steht. QUA-Lis steht für Qualitäts- und UnterstützungsAgentur - Landesinstitut für Schule und ist die vom Ministerium beauftragte zentrale Einrichtung für pädagogische Dienstleistungen insbesondere zur Unterstützung der Schulen bei der Wahrnehmung ihres Bildungs- und Erziehungsauftrages. Die Schulen haben über einen Testserver ganzjährig die Möglichkeit, Downloadfunktionalitäten auszuprobieren, um mit Testdokumenten die Funktionsfähigkeit insbesondere schulischer Hard- und Software zu testen. Die Lehrkräfte können jederzeit darauf zugreifen. Zu diesem Zweck erhalten die Nutzerinnen und Nutzer gleichlautende Nutzernamen und Passwort. Über dieses System bestand zwischenzeitlich die Möglichkeit, Nutzerdaten (wie Name, Vorname und Mailadresse) einer anderen, internen Arbeitsplattform der QUA-LiS NRW auszulesen. Diese Möglichkeit des Zugriffs ist umgehend nach Bekanntwerden unterbunden worden.
Das Ministerium für Schule und Bildung hat in Folge ein externes Team von IT-Sicherheitsexperten mit der Untersuchung und Analyse der IT-Schwachstellen der QUA-Lis in Soest beauftragt. Es soll die aktuelle Situation und alle IT-Prozesse der QUA-LiS intensiv analysieren. Damit schnell und verlässlich Klarheit über den Vorfall geschaffen und weitere Probleme verhindert werden. Gemeinsam mit dem neu eingerichteten Ad-hoc-Team „IT-Sicherheit QUA-LiS“ des Schulministeriums und den Verantwortlichen der QUA-LiS wurde mit der Aufarbeitung des Vorfalls begonnen und inzwischen liegen erste Ergebnisse vor:
So konnten weitere Schwachstellen in der IT-Infrastruktur entdeckt und unmittelbar geschlossen worden. Da zum gegenwärtigen Zeitpunkt nicht ausgeschlossen werden kann, dass es weitere Schwachstellen gibt, hat Schul- und Bildungsministerin Dorothee Feller entschieden, den Server abzuschalten, auf dem sich derzeit mehrere Schwachstellen kumuliert haben.
Der nun abgestellte Server der QUA-LiS wurde von den Mitarbeiterinnen und Mitarbeitern sowie von Arbeitsgruppen der QUA-LiS als gemeinsame genutzt. Da das externe IT-Expertenteam die gesamte IT-Struktur der QUA-LiS überprüfen soll, ist nicht ausgeschlossen, dass weitere Schwachstellen gefunden werden.
Neben der weiteren Schwachstellenanalyse hat das externe IT-Expertenteam bereits mit der Forensik der bekannten Schwachstelle begonnen und am Wochenende erstmals bestätigt, dass nach bisherigen Erkenntnissen davon auszugehen ist, dass mindestens 16.557 Datensätze ausgelesen wurden, die im Regelfall ausschließlich einen Nutzernamen aus einer Kombination aus Vor- und Zunamen enthalten. Weiter ist nach bisherigen Erkenntnissen davon auszugehen, dass mindestens 3.765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen wurden.
Es ist nun wichtig, dass die weitere Aufklärung zügig und umfassend durchgeführt wird. Ich bin froh, dass unsere Schulministerin Dorothee Feller diesen Prozess schonungslos und umfassend vorantreibt. Die Fehler der Vergangenheit müssen aufgearbeitet werden. Ich halte Sie in den kommenden Tagen und Wochen auf dem Laufenden.