Die Sicherheitslücke auf Servern von QUA-LiS ist offensichtlich doch deutlich umfangreicher als vom MSB zunächst angenommen und so auch öffentlich kommuniziert. Die vom MSB mit einer Überprüfung beauftragten externen IT-Experten bestätigten letztendlich, was Carl Fabian Lüpke, der sich mit der Schwachstelle auseinandergesetzt und diese an das BSI gemeldet hatte, auf Social Media hatte verlauten lassen. Es ging um weitaus mehr als 500 Datensätze. Betroffen waren demnach mindestens 16.557 Datensätze von Personen, welche den QUA-LiS Server nutzten und davon mindestens 3.765 mit umfangreicheren Informationen. Das Ministerium für Schule und Bildung (MSB) listet in einer Pressemeldung vom 01.05.2023 auf, um welche Arten von Daten es sich genau handelt. Je nach betroffenen Nutzerkonto konnten über den Nutzernamen hinaus folgende Daten im Datensatz enthalten sein:
- organisatorische Rolle im Schulsystem (z.B. „stellvertretende Leitung“)
- Institutionszugehörigkeit (z.B. Name der Schule)
- Postalische Adresse
- Dienstliche oder private Festnetz- oder Mobilfunknummer
- Dienstliche oder private E-Mail-Adresse
- weitere technische Daten (z.B. Erstellungsdatum des jeweiligen Nutzeraccounts)
Wie lange diese Daten schon offen zugänglich auf den Servern lagen, ist noch offen. Es ist aber wohl sicher davon auszugehen, dass die Sicherheitslücke mindestens seit 2019 besteht, möglicherweise sogar schon seit 2002. In den über drei Jahren seither hatte damit jede Person mit ausreichenden Kenntnissen die Möglichkeit, die Datensätze zu entwenden und zu missbrauchen. Die Ministerin gab vor dem Ausschuss des Landtags an, dass sie den Server habe abschalten lassen.1Vermutlich wird der Server eher nur vom Netz genommen worden sein. QUA-LiS informierte deshalb am 04.05.2023 unter dem Titel Eingeschränkte Nutzung einiger Onlinedienste der QUA-LiS NRW darüber, dass dadurch einige Dienste nicht zur Verfügung stehen für externe Nutzer und eigene Mitarbeiter. Aus der Pressemeldung des MSB geht hervor, um welchen Personenkreis es sich bei den Betroffenen handelt und um welche Art von Server: „Der nun abgestellte Server der QUA-LiS wird von den Mitarbeiterinnen und Mitarbeitern sowie von Arbeitsgruppen der QUA-LiS als gemeinsame Arbeitsplattform unter anderem für den Austausch von und die gemeinsame Arbeit an Dokumenten genutzt. Das betrifft zum Beispiel die Lehrplanarbeit oder den Bereich der Fortbildung.“
Dass der Server tatsächlich abgeschaltet wurde, zweifelt Fabian Lüpke, der die Schwachstelle dem BSI gemeldet hatte, an. Auf Twitter schreibt er „Der Apache war Jahrgang 2021, immerhin. Das Cert vom Mailserver ist Jahrgang 2015. MHD in 2018 überschritten. Übrigens immer noch da, obwohl Frau Feller behauptete, die Kiste sei abgeschaltet: 176.28.49.136:25 – Aber gut, vielleicht hat sie auch nur den Apache gemeint, weil der ist weg. Man hat sich scheinbar jahrelang 0 gekümmert. (http://testdownload.standardsicherung.de war früher mal nen CNAME auf http://bscw.schule.nrw.de, was auf 176.28.49.136 zeigt, siehe auch History auf http://search.censys.io) – Das mit dem 20 Jahre alten Server hat Frau Feller in der Fragestunde im Landtag so gesagt, aber ehrlich gesagt halte ich das für Quatsch. Die Adresse liegt bei HostEurope. Vermutlich handelt es sich um ein virtuelles System, was schon lange existiert und manchmal Updates bekam.“2Quelle: https://twitter.com/fluepke/status/1654472161522794496?s=61&t=ncE8zzKQVTM69e6-sR65gQ
Bewertung
Es bleibt weiter spannend, scheint es. Bisher wurden die Informationen von Fabian Lüpke im Nachhinein immer durch das MSB bestätigt. Klar ist, dass hier über einen sehr langen Zeitraum die personenbezogenen Daten von sehr vielen Menschen offen zugänglich im Netz lagen und einige der Daten dürften nach Aussagen von Lilith Wittmann geeignet gewesen sein, sich Zugang zu anderen Plattformen zu verschaffen. Ob und welche Daten tatsächlich abgeflossen sind, lässt sich nachträglich wohl nicht mehr feststellen, außer sie tauchen irgendwo im Netz einmal auf oder Betroffene melden sich, die „Erlebnisse“ hatten, die sich nur damit erklären lassen, dass Dritte ihre Daten auf dem betroffenen Server auslesen konnten.
1 thought on “Datenleck – MSB NRW ergreift weitere Maßnahmen”