Schulministerium: Ministerin äußert sich zur IT-Schwachstelle in NRW
von caschy | 19 Kommentare
Foto von Taylor Vick auf Unsplash
Vermutlich haben es die meisten mitbekommen: Die Abi-Prüfungen in NRW wurden aufgrund von IT-Problemen verschoben. Doch das war noch nicht alles. Das Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen ergreift nach der Störung beim Zentralabitur weitere Maßnahmen. Alle IT-Prozesse der zum Geschäftsbereich des Schulministeriums gehörenden „Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule NRW“ (QUA-LiS NRW) werden auf Anordnung von Schul- und Bildungsministerin Dorothee Feller auf den Prüfstand gestellt und einer detaillierten Analyse durch IT-Expertenteams unterzogen. „Wir schauen uns hier alles ganz genau an. Diese Analyse hat absolute Priorität. Es muss hier Klarheit geben, wie es zu der Schwachstelle kommen konnte. Aus diesem Grunde ist die umfassende Experten-Analyse zwingend”, sagte Ministerin Dorothee Feller.
Ende vergangener Woche wurde auf einem Server der QUA-LiS NRW durch für IT-Sicherheit zuständige Behörden eine Schwachstelle entdeckt, die getrennt vom Zentralabitur zu betrachten ist. Hier haben Schulen über einen Testserver ganzjährig die Möglichkeit, Downloadfunktionalitäten auszuprobieren, um mit Testdokumenten die Funktionsfähigkeit insbesondere schulischer Hard- und Software zu testen. Die Lehrkräfte können jederzeit darauf zugreifen. Zu diesem Zweck erhalten die Nutzer gleichlautende Nutzernamen und Passwort. Über dieses System bestand laut Ministerium die Möglichkeit, 500 Nutzerdaten einer anderen, internen Arbeitsplattform der QUA-LiS NRW auszulesen – zum Beispiel Nutzername und E-Mail-Adresse.
Doch die Zahlen werden derzeit angezweifelt. Sicherheitsforscherin Lilith Wittmann berichtet, dass die gesamte Datenbank ungeschützt im Internet aufrufbar war, ohne dass man eine Lücke ausnutzen musste – ein Gast-Login reichte demnach aus. So wäre theoretisch Zugriff auf rund 16.000 Nutzer mit Namen, E-Mails und Jobs möglich gewesen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wenn das mit dem Gastaccount stimmt, und soetwas in der Art kommt ja öfter vor, ist es doch eigentlich gar keine Sicherheitslücke, sondern einfach Schlamperei.
Mit der Begründung gäbe es keine Sicherheitslücken. Alles ist irgendwie ein Denk/Tipp/Logikfehler von irgendwem.
Softwareentwicklung bedeutet, Fehler zu machen. Allerdings gibt es deswegen standardisierte Prozesse der Qualitätssicherung, um das abzufangen, was „immer mal wieder passiert“.
In diesem Fall wäre es NORMALERWEISE so, dass eine Aufgabe („Ticket ABC-123: Leute sollen da irgendwie auf den Server draufkommen“) ein Spezifikations- und Refinement-Meeting. Da sitzen vom Entwickler über den Designer bis zum BWLer alle drin und bewerfen die Aufgabe mit Lösungs- und Zerstörungsideen.
In diesem Fall hier wäre es eigentlich normal, dass der ProductOwner die dumme Idee hatte, alle Personen mit dem gleichen Passwort anzulegen. Das erscheint nicht durch Zauberhand in der Datenbank, sondern wird bei der Initialisierung automatisch ausgeführt. Das heisst, jemand muss das programmieren. Und dieser „Jemand“ hätte sich an die Stirn getippt, und gefragt,„… ob’s noch geht, hier oben???“
Solche Prozesse kosten Geld. Man kann das sparen. Man lässt dann solche Aufgaben NICHT durch den Prozess laufen, sondern der ProductOwner nimmt ein „Tool“ und import „manuell“ eine CSV-Datei. Da würde ich als QAler als erstes fragen: „Aha. Und wenn wir jetzt das lokale Entwicklungssystem aufsetzen, und das interne Testsystem — woher kriegen DIE dann ihre Nutzerdaten???“, und dann gibt es einen Schlach in‘ Nacken, und dann passiert sowas nicht. Jeder Entwickler, der den Container hochfährt, muss sofort Nutzerdaten drin haben.
Fehler passieren. Wir Profis machen scheussliche Fehler, glaub mir. Aber die grundlegende Entscheidung, den Weg der Schlamperei statt des geregelten Prozesses zu gehen, dass ist kein „Oooops“, das ist eine bewusste Entscheidung mit Blick auf die Kosten gewesen, und da fehlt mir jegliches Verständnis.
Jedes private Unternehmen hätte jetzt so richtig Stress.
„Jedes private Unternehmen hätte jetzt so richtig Stress.“
Nun, den Fehler hat ja nun einmal ein privates Unternehmen gemacht und nicht die Behörde. Die ist dazu halt – organisatorisch und von der Aufgabe her – nicht in der Lage. Soll sie auch nicht sein, sie hat andere Aufgaben.
Da sie aber Auftraggeber ist, sollte sie Stress machen!
Ich habe natürlich keinen Einblick in die Verträge, aber normalerweise gibt es in den Verträgen eine Mitwirkungspflicht, und auch eine Regelung der Haftung. Das willst Du als Dienstleister allein deswegen schon, weil Du dich irgendwie dagegen schützen musst, dass dein Kunde im Jahr 2035 noch einen Bug per Gewährleistung gefixt haben will.
Das heisst:
1. Was immer Du als Dienstleister da erstellt hast, wird vom Kunden abgenommen. Der muss „unterschreiben“, dass er das geprüft und für gut befunden hat und bezahlt. „Unterschreiben“ heisst in der Regel, dass Du mit Tickets arbeitest und verlangst, dass der Kunde eigenhändig ein Ticket von „Abnahme“ auf „Erledigt“ zieht.
Ins unreine gesprochen: Kann sein, dass deine Werkstatt vergisst, die Reifen aufzupumpen. In dem Augenblick, wo Du mit 4 Platten vom Hof fährst, ist das trotzdem deine Schuld.
2. Was heisst „organisatorisch nicht in der Lage“? Kein einziger meiner Kunden ist ein IT-Dienstleister. Sie alle verkaufen Schuhe, Blumen, Uhren oder Kleidung. Und wenn sie eine IT-Dienstleistung brauchen, zum Beispiel einen Shop oder eine Website, dann müssen sie jemanden dafür bezahlen, der das „kann“. Damit meine ich nicht uns als IT-Dienstleister, sondern bei denen im Haus jemanden, der das hinbekommt.
Wenn Du, sagenwirmal, ein Haus baust. Dann schaltest Du zwischen dich (der keine Annung davon hat) und die Handwerker (die erwarten dürfen, saubere Planung zu bekommen): EInen Architekten. Nur ein Idiot baut ein Haus ohne Architekten.
Alle meine BLumen-Uhren-Schuhe-verkaufenden Kunden leisten sich wenigstens einen Freelancer, der das als PM oder PO macht. Warum sollte eine Behörde das anders machen? Wenn die Behörde ihr Dach reparieren lässt, holen sie sich doch auch einen Architekten und lassen nicht den Dachdecker „irgendwie machen“ (der i.d.R. ohne solide Vorgaben auch nicht arbeiten wird)
Wie war das hier in den Kommentaren doch immer wieder zu lesen… überbordender (deutscher) Datenschutz behindert den Fortschritt? Was also soll die Aufregung. Sind doch nur Daten, ein paar Einser und Nuller, die jetzt halt woanders sein könnten.
Das Absurde daran ist, dass genau dieser überbordende (deutsche) Datenschutz in Verbindung mit unseren „tollen“ Ausschreibungsverfahren immer wieder zu genau solchen Situationen führen wird: Mundgeklöppelte Software aus der deutschen EDV-Manufaktur zum (zunächst vermeintlich) billigsten Preis, im Projektverlauf immer weitere Verzögerungen und Budgetexplosionen (da hat wirklich niemand mit rechnen können), danach die Erkenntnis: Huch, leider unsicher, nicht performant, funktioniert nicht … tut uns leid. Dafür haben wir die Anwesenheitsliste des Unterrichts der Klasse 3b wenigstens nicht den Geheimdiensten westlicher Schurkenstaaten in den Rachen geworfen.
Es gefällt mir selbst nicht, aber unsere Daten sind bei den „Großen“ besser aufgehoben als bei den oben beschriebenen Projekten. Natürlich gäbe es Alternativen, aber die können oder wollen wir uns nicht leisten, bzw. sie harmonieren nicht mit unserem Ausschreibungsrecht (dem vermutlich größten Übeltäter, nicht nur in Bezug auf Softwareentwicklung) und Ministerien sind schlechte Projektsteuerer.
Wenn jemand zu „blöd“ ist die Rechte für ein Gast Login richtig zu setzen, gehört er eher in ein Steinbruch zum Steine klopfen, als in ein Ministerium.
Aber vlt. kommt es ja raus, dass es jemand mit Absicht gemacht hat.
Arbeite in einer staatl. Forschungseinrichtung. Ich lehne mich nicht zu weit aus dem Fenster, wenn ich sage, dass ich mehr drauf habe als unsere „IT“-Abteilung. Das ist einfach ein systematisches Problem, da wird halt nach TV-öD oder TV-L gezahlt. Das reicht schon aus, damit die wirklich fähigen Leute sich gar nicht erst bewerben.
Dann gibt es keine wirkliche Kontrolle der Arbeitsqualität der ITler dort, vermutlich weil sonst niemand der Dinosaurier die hier arbeiten auch nur im Ansatz Ahnung von IT hat und sich höchstwahrscheinlich auch gar nicht damit auseinander setzen will. Ich meine, hier arbeitet einer als leitender ITler, der den Job damals bekommen hat weil er den selben Laptop wie der Chef hatte….
Fairerweise muss man aber auch sagen, dass es mit allen anderen Angestellten hier auch nicht wirklich besser ist. Staatliche Einrichtungen ziehen Trantüten scheinbar an wie Scheiße die Fliegen. Das ist mein erster Job nach dem Studium, den ich auch zugegebenermaßen aus etwas ideologischen Gründen begonnen hatte. Lange bleiben werde ich hier aber garantiert nicht.
Wer sagt denn, dass das im Ministerium und nicht bei einem privatwirtschaftlichen Unternehmen als Dienstleister läuft???
Hat Frau Wittmann schon Durchsuchungsbeschluss auf Ihrem Tisch ?
So sollte ja normalerweise gegen Forscher vorgegangen werden.
Schon Wüst sowas.
Digital und Verwaltung
Geht in Deutschland einfach nicht zusammen.
E-Rezept, E-Führerschein, Grundsteuer, KFZ-Zulassung, Bürgerdienste und, und, und …
Alles Baustellen voller Peinlichkeiten
Viele Köche verderben den Brei. Unser Föderalismus passt da einfach nicht dazu.
IT-Abteilung des Landes, externer IT-Dienstleister – und dann solche Pannen.
Das ist keine Schlamperei mehr, das ich Unfähigkeit und den Job verfehlt.
Mein AG macht Unternehmensberatung, vielleicht sollten wir denen mal einen Azubi aus dem ersten Jahr schicken, die können das besser
Da braucht es keine Unternehmensberatung, sondern einen vernünftigen IT-Dienstleister. Typen aus einer Unternehmensberatung haben oft noch weniger Ahnung vom Thema als die IT-Abteilung des Landes, die verschlimmbessern die Situation nur.
Gut das die privaten Unternehmen ihre Daten niemals „verlieren“ und auch nie gehackt werden, weil da arbeiten offensichtlich nur hochqualifizierte Itler.
Deswegen liest man auch nie das ein privates Unternehmen Probleme mit der IT-Sicherheit hat.
Ich finde durchaus, dass der Staat hier eine Vorbildfunktion hat. Wenn die es nicht hin bekommen, dann brauchen wir uns nicht wundern, dass die privaten Unternehmen das mit der Sicherheit auch nicht gebacken bekommen, weil kostet ja Geld.
Es gibt einen Unterschied zwischen
„Auto kam wegen eines technischen Defekts von der Strasse ab“
und
„Auto wurde geklaut und von bekifftem Fahrer ohne Führerschein in den Graben gesetzt“.
Fehler passieren. Fehler passieren auch Piloten, Chirurgen und Verteidigungsministern.
Aber Fehler wie dieser passieren eigentlich nicht. Es gibt Spezifikations-, Umsetzungs- und Qualitätssicherungsprozesse, teilweise sogar automatisiert, die es eigentlich unmöglich machen, das SOWAS passiert. Andere Sachen passieren — sowas nicht.
Ich formuliere mal ins Unreine:
Jemand hatte eine unfassbar doofe Idee. Das passiert. In einem sauberen Prozess gucken anschliessend noch 5-10 Leute auf die doofe Idee drauf und sagen, dass das eine doofe Idee war. Dann lachen wir ein bisschen, nehmen noch einen Meeting-Keks, und ersetzen die doofe Idee durch eine gute Idee. DAS ist normal.
NICHT normal ist, dass da einer macht, und dann geht das so produktiv. Also, entweder waren da 10 Idioten dran, oder der Entscheider hat das Geld für den Prozess gespart, und dann ist er halt, siehe oben, der bekiffte Fahrer ohne Führerschein, der sich nicht auf „Versehen“ oder „Defekt“ rausreden kann. Er hat die Karre kurzgeschlossen, um sie überhaupt starten zu können.
Sowas haben wir vor 25 Jahren vergeigt. Heute nicht mehr.
Ich selber arbeite in der IT als Servicetechniker, für viele ist das Internet und Co Neuland. Da braucht man sich nicht wundern das auch für die meisten Verantwortlichen anscheinend das Internet Neuland ist. Für mich ist das keine Sicherheitslücke sondern es wurde schlampig gearbeitet und bei der Rechteverteilung nicht genau geguckt bzw gearbeitet.
Das ist eine Organisationslücke, da können die ach so schlecht bezahlten Techniker nichts für. Produktive Daten haben auf einer Testumgebung, um die es sich ja hier offensichtlich handelte, einfach mal nichts verloren.