Nach der Katastrophe ist vor der Katastrophe scheint es. Nach dem Desaster mit den Downloads der Abiturklausuren am 18.04.2023 wegen technischer Probleme für viele Schulen nicht möglich war und zu einer Verschiebung des Termins führte, wurde nun eine Datenschutzpanne bekannt, die eine indirekte Verbindung zum Download Problem hat.
Das Ministerium für Schule und Bildung (MSB) berichtet am 24.04.2023 unter dem Titel „Ministerin Feller ergreift weitere Maßnahmen – Entdeckte IT-Schwachstelle geschlossen. Experten-Analyse angeordnet – Zentralabitur ausdrücklich nicht betroffen“ über eine Datenleck auf seinen Servern. Nach Informationen des MSB wurde bereits am Donnerstag der vorherigen Woche „auf einem Server der QUA-LiS NRW durch für IT-Sicherheit zuständige Behörden eine IT-Schwachstelle entdeckt.“ Diese fand sich auf einem für Testzwecke eingerichteten Server, auf welchem Schulen ganzjährig „Downloadfunktionalitäten auszuprobieren [können], um mit Testdokumenten die Funktionsfähigkeit insbesondere schulischer Hard- und Software zu testen.“ Alle Nutzer:innen hätten dort dazu die gleichen Zugangsdaten. Laut MSB bestand über das System allerdings auch die Möglichkeit „500 Nutzerdaten einer anderen, internen Arbeitsplattform der QUA-LiS NRW auszulesen – zum Beispiel Nutzername und E-Mail-Adresse.“ Die Sicherheitslücke habe man umgehend nach Bekanntwerden geschlossen und alle betroffenen Nutzer mit der Bitte um Änderung des Passwortes informiert.
Diese Informationen decken sich allerdings nicht mit denen von Lilith Wittmann (@LilithWittmann), die diese Lücke entdeckte1Siehe Twitter Thread unter https://twitter.com/LilithWittmann/status/1650586828099993602?t=F9qBTcD5wSAAh-2JcOwH1A&s=03 meldete sie wegen ihrer schlechten Erfahrungen mit einem responsible disclosure nicht direkt an das MSB, sondern übergab ihre Informationen an einige Journalisten, die das MSB dann kontaktiert haben dürften. Carl Fabian Lüpke, (@fluepke) vom Chaos Computer Club Berlin, der sich die Sicherheitslücke ebenfalls ansah, informierte das CERT Bund darüber und meldete diesem die betroffenen Nutzerkonten. Wittmann und Lüpke weisen in ihren Tweets darauf hin, dass die Aussagen des MSB in seiner Pressemeldung auf Twitter nicht korrekt sind und deutlich mehr Nutzerkonten betroffen waren als 500.
Wittmann schreibt: „Das waren mehr als 500 – nämlich euer ganzes Active Directory – >16000 User mit Namen, E-Mails und Jobs – und das hat einige andere interessante Sicherheitslücken eröffnet. zB Account-Takeovers von E-Mail-Adressen, bei denen Domains nicht mehr existierten.“
und fügt einen Screenshot bei. Dort zu sehen ist die URL, auf welcher sich das Active Directory findet testdownload.standardsicherung.de/phpldapadmin/cmd.php?… Das ist der gleiche Server, bei welchem Wittmann bereits auf Probleme hinwies.
Lüpke bestätigt die Aussagen von Wittmann in seinen Tweets, mit denen er auf die Zahl von 500 betroffenen Konten in der Pressemeldung des MSB auf Twitter reagiert, dass es sich nicht um 16.000 komplette Datensätze von Nutzer handelt: „Lasst euch von denen nicht verscheißern. Das waren viel mehr Accounts. Dem @certbund meldete ich 3765 Datensätze. In der BSCW Gruppe lagen sogar 16557 Mitglieder:innen drin, aber da liegt nur ein Distinguished Name zu vor. Z.b.: uniquemember: cn=CarlLuepke,ou=bscw,o=qua-lis,c=DE.“
Bei den ungeschützten Zugangsdaten handelt es sich allem Anschein nach um die zu einer BSCW Plattform von QUA-LiS. Nutzer einer solchen Plattform erhielten ein E-Mail mit der Aufforderung, ein neues Passwort zu setzen, und Informationen, warum dieses erforderlich ist. QUA-LiS sind mindestens zwei BSCW Server zugeordnet. Welcher davon betroffen war, https://bscw.schule.nrw.de oder https://bscw.qua-lis.nrw.de, ging aus den vorliegenden Informationen nicht hervor.
Bewertung
Eine vergleichbare Sicherheitslücke ist bisher aus NRW nicht bekannt. Seit die URL testdownload.standardsicherung.de durch den Tweet von Lilith Wittmann am 18.04.2023 im Internet umging, konnte jedermann mit etwas Geschick auf den Server schauen. Es ist also durchaus möglich, dass bereits andere Personen Daten aus dem Active Directory entwendet haben, jedoch ohne die Sicherheitslücke zu melden. Die Ministerin handelt richtig. Sie stellt alle Systeme in Bezug auf Sicherheit auf den Prüfstand, um herauszufinden, wie es zu der Sicherheitslücke kam: „Alle IT-Prozesse der zum Geschäftsbereich des Schulministeriums gehörenden „Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule NRW“ (QUA-LiS NRW) werden auf Anordnung von Schul- und Bildungsministerin Dorothee Feller auf den Prüfstand gestellt und einer detaillierten Analyse durch IT-Expertenteams unterzogen.“ Alles andere wäre politischer Selbstmord. Der IT Dienstleister, der hier für das MSB bzw. QUA-LiS NRW tätig ist, die Neheimer Firma Gonicus, wird möglicherweise das Land als Auftraggeber verlieren, sollte er auch für diese Sicherheitslücke verantwortlich sein.