Nach NRW-Abi-Panne: Sicherheitslücke auf Schulserver enthüllt tausende Nutzer

Das Abitur-Chaos in Nordrhein-Westfalen, bei dem überlastete Server eine Technikpanne ausgelöst und den Download der Prüfungsaufgaben verhindert haben sollen, zieht weitere Kreise. Die nordrhein-westfälische Schulministerin Dorothee Feller (CDU) teilte am Montag mit, dass auf einem "Testserver" der zu ihrem Geschäftsbereich gehörenden Qualitäts- und Unterstützungsagentur eine IT-Schwachstelle gefunden worden sei. Über dieses System habe die Möglichkeit bestanden, "500 Nutzerdaten einer anderen, internen Arbeitsplattform" der Agentur auszulesen. Dabei habe es sich etwa um Usernamen und E-Mail-Adressen gehandelt.

Gesamtes Active Directory offen

Sicherheitsexperten zufolge war das inzwischen abgedichtete Leck deutlich größer. Er habe 3765 Datensätze dem Computer Emergency Response Team für Bundesbehörden (CERT-Bund) gemeldet, erklärte Carl Fabian Lüpke ("Flüpke"), einer der Sprecher des Chaos Computer Clubs (CCC) in sozialen Medien. In einer "BSCW" getauften Gruppe seien sogar 16.557 Mitglieder angelegt gewesen.. Dazu habe aber nur ein "Distinguished Name" vorgelegen, also eine Position eines Objektes im Windows-Verzeichnisdienst Active Directory. Diese Angabe kann für weitere Abfragen oder Befehle für Auswertungen genutzt werden, enthält aber zunächst nur eingeschränkte personenbezogene Informationen.

Letztlich habe das gesamte Active Directory offen gestanden, schreibt Lilith Wittmann. Betroffen gewesen seien 16.000 User "mit Namen, E-Mails und Jobs", was "einige andere interessante Sicherheitslücken eröffnet" habe. So wäre etwa auch die Übernahme von Accounts von E-Mail-Adressen möglich gewesen, "bei denen Domains nicht mehr existierten".

Prüfung läuft noch

Bei den zunächst angezeigten 500 Konten handle es sich offenbar um ein Darstellungslimit auf dem Server, erläuterte Flüpke. Die Sicherheitslücke habe aber nicht die Aus- und Durchführung der Abiturklausuren betroffen. Ein Zugriff darauf sei über die gekaperten Accounts nicht möglich gewesen. Die betroffenen Konten seien inzwischen ans Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet worden. Feller hat laut WDR im NRW-Landtag inzwischen eingeräumt, dass die Datenpanne offenbar größer war als zunächst angegeben. Wie viele Daten betroffen waren, werde gerade geprüft.

Die Ressortleiterin ordnete am Montag bereits an, alle IT-Prozesse beim Landesschulinstitut zu kontrollieren und "einer detaillierten Analyse durch IT-Expertenteams" zu unterziehen. Dies habe "absolute Priorität": Es müsse hier Klarheit geben, wie es zu der Lücke kommen konnte, die aber getrennt von den Störungen beim Zentralabitur zu betrachten sei. Alle Downloadprozesse in diesem Zusammenhang verliefen mittlerweile normal. "Wir haben Zweifel an der Digitalisierungskompetenz des nordrhein-westfälischen Schulministeriums", argwöhnte Flüpke indes gegenüber dem Online-Dienst Table.Media. Zuvor hatten die Klausuren verschoben werden müssen, da weder Plan A noch B zum Download funktionierten: IT-Systeme des beauftragten Dienstleisters sollen nicht optimal dimensioniert gewesen sein.

(mho)