Schulministerium NRW: Sicherheitslücke bestand möglicherweise seit 2002

Eine kürzlich entdeckte Sicherheitslücke, über die Tausende Datensätze von Lehrern heruntergeladen werden konnten, soll bereits seit mindestens 2019 bestehen, wie die nordrhein-westfälische Schulministerin Dorothee Feller (CDU) erklärte.

Es gebe darüber hinaus Spuren, dass die Probleme mit ziemlicher Sicherheit schon seit 2015 bestünden, vielleicht sogar seit Einrichtung des Servers im Jahr 2002, erläuterte ein IT-Experte des Ministeriums.

Entdeckt hatten die Sicherheitslücke die beiden Sicherheitsforscher Lilith Wittmann und Fluepke bereits im April. Bei ihr handelte es sich um ungeschützte Server mit Nutzerdaten. Insgesamt waren mehr als 16.000 Datensätze aus E-Mails, Nutzernamen und teilweise der genauen Berufsbezeichnung enthalten. Die Sicherheitsforscher hatten das Sicherheitsproblem dem Certbund gemeldet.

Server vom Netz getrennt

Das Schulministerium hatte daraufhin Ernst & Young mit der Untersuchung der Sicherheitslücke bei der Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule NRW (QUA-LiS NRW) beauftragt. Dabei sollen weitere Schwachstellen entdeckt und behoben worden sein. Die Prüfung dauert jedoch weiter an. Da nicht auszuschließen sei, dass auf dem Server weitere Sicherheitsprobleme bestünden, sei er vorsorglich bis auf Weiteres vom Netz getrennt worden, teilte das Schulministerium mit.

Das Schulministerium erklärte außerdem, dass mindestens 16.557 Datensätze ausgelesen wurden, und bestätigte damit die Sicherheitsforscher. Anfangs hatte das Ministerium nur von 500 ausgelesenen Datensätzen gesprochen, was wohl auf das standardmäßige Limit von 500 Einträgen für die Rückgabe auf LDAP-Suchanfragen zurückzuführen war.

Fluepke kritisierte die Beauftragung von Ernst & Young auf Twitter: "Ich ärgere mich, dass Ernst & Young sich jetzt ohne einen Finger krumm zu machen an meiner Arbeit bereichern darf!" Dabei solle das Geld lieber in marode Schulen gesteckt werden.