Das nordrhein-westfälische Schulministerium hat nach Download-Schwierigkeiten seiner Abiturprüfungen und dann aufgedeckten Sicherheitslücken auf einem Server der Qualitätsagentur – Landesinstitut für Schule und Bildung (QUA-LiS) noch mehr Schwachstellen eingestanden. Für die Untersuchung der Schwachstellen hatte das Ministerium die Cybersecurity-Abteilung der Beratungsfirma Ernst & Young beauftragt. Der betroffene Server sei nach den weiteren Funden abgeschaltet worden. Carl Fabian Lüpke („Flüpke“), der das erste Leck dem Computer Emergency Response Team für Bundesbehörden (CERT-Bund) gemeldet hatte und der beim Chaos Computer Club (CCC) aktiv ist, kritisierte nach den neusten Meldungen aus dem Schulministerium öffentlich auf Twitter, dass „Ernst & Young sich jetzt ohne einen Finger krumm zu machen an meiner Arbeit bereichern darf!„. Zu den neu gefundenen Sicherheitslücken heißt es aus dem Schulministerium, dass diese vermutlich schon seit Jahren bestanden haben. Der nun abgestellte Server der QUA-LiS soll von Beschäftigten als gemeinsame Arbeitsplattform genutzt worden sein – unter anderem für den Austausch und die gemeinsame Arbeit an Dokumenten, beispielsweise für die Lehrplanarbeit oder den Bereich der Fortbildung. Auszuschließen sei auch nicht, dass noch mehr Schwachstellen gefunden werden, heißt es aus dem Ministerium. Das Team von EY schaue sich die gesamte IT-Struktur der QUA-LiS an. Zur vom CCC aufgedeckten Lücke stellte das Schulministerium ebenfalls mehr Informationen bereit. Demnach konnte vom EY-Team bestätigt werden, „dass nach bisherigen Erkenntnissen davon auszugehen ist, dass mindestens 16.557 Datensätze ausgelesen wurden, die im Regelfall ausschließlich einen Nutzernamen aus einer Kombination aus Vor- und Zunamen enthalten. Weiter ist nach bisherigen Erkenntnissen davon auszugehen, dass mindestens 3.765 Datensätze mit weitergehenden personenbezogenen Daten ausgelesen wurden.“ Diese Einträge sollen über die Nutzernamen hinaus folgende Informationen enthalten haben: die organisatorische Rolle im Schulsystem der Person (z.B. „stellvertretende Leitung“), die Institutionszugehörigkeit (z.B. Name der Schule), die postalische Adresse, die dienstliche oder private Festnetz- und Mobilfunknummer, die dienstliche oder private E-Mail-Adresse und weitere technische Daten wie etwa das Erstellungsdatum der jeweiligen Accounts. Die Datensätze bezögen sich „aller Voraussicht nach auf Mitarbeiterinnen und Mitarbeiter der QUA-LiS sowie auf weitere externe Personen.“ Zugehörige Kennwörter sollen nach gegenwärtigen Kenntnisstand nicht ausgelesen worden sein. Die Datenanalyse werde weiter fortgesetzt. Die jetzt präsentierten Ergebnisse bestätigen damit auch die Angaben von Lilith Wittmann zu dem Fall. Laut ihrer Aussage, sei das ganze Active Directory auslesbar gewesen und mit diesen Daten wäre etwa auch die Übernahme von Accounts von E-Mail-Adressen möglich gewesen, „bei denen Domains nicht mehr existierten“. Schul- und Bildungsministerin Dorothee Feller (CDU) erklärte: „Wir werden alle Untersuchungen weiter mit Hochdruck vorantreiben, um den Missbrauch von Daten zu verhindern.“
