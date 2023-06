Das Schulministerium Nordrhein-Westfalen hat aus vergangenen Datenpannen nach eigener Darstellung "die erforderlichen Konsequenzen gezogen". Zunächst hatten aufgrund überlasteter Server keine Prüfungsaufgaben heruntergeladen werden können. Wenig später war eine gravierende Schwachstelle im IT-System des Schulinstituts QUA-LiS aufgedeckt worden, anschließend weitere. Die erste Sicherheitslücke hatte Fluepke gefunden, einer der Sprecher des Chaos Computer Clubs. Er gab an, dem Computer Emergency Response Team (CERT-Bund) 3.765 Datensätze gemeldet zu haben, woraufhin das Ministerium die Beratungsfirma Ernst & Young beauftragte.

Errichtung eines Kompetenzzentrums

Die IT-Schwachstellenanalyse "bei der Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule (QUA-LiS)" führe derzeit Ernst & Young durch, teilte das Ministerium mit. Aktuell würden außerdem Vorbereitungen laufen, um die "aufgrund der bekanntgewordenen Schwachstellen deaktivierten Systeme" wieder zu starten. Penetrationstest sind dem Schulministerium zufolge ebenfalls Teil der Vorkehrungen. Ziel sei es, "dass nach Möglichkeit erst gar keine Schwachstellen in der IT-Infrastruktur entstehen". Dafür will das Schulministerium ein Kompetenzzentrum einrichten mit einem zentralen Ansprechpartner für Web-Anwendungen. Dieser sei auch für die Einhaltung technischer Standards von Web-Anwendungen der QUA-LiS zuständig.

Mehr Zeit für technische Störungen eingeplant

Ab dem nächsten Schuljahr sollen Schulen auch bereits ab drei Tagen vor den Prüfungsterminen die Aufgaben herunterladen dürfen. Bislang war das nur mit einem Tag Vorlauf vor dem Prüfungstag möglich. "Durch den längeren Zeitraum zwischen dem Download und der Prüfung erhalten wir im Fall einer technischen Störung [...] deutlich mehr Zeit für die Behebung des Problems oder für die gegebenenfalls erforderliche Aktivierung eines Notfallsystems."

Neuer IT-Dienstleister

Das technische Verfahren "zur Bereitstellung der zentralen Prüfungsaufgaben" soll neu ausgeschrieben werden, da der Vertrag mit dem bisherigen Dienstleister in diesem Sommer auslaufe. Über die neue Vergabe werde bis Mitte August entschieden. In der Ausschreibung sollen auch die "gestiegenen Anforderungen an das System enthalten sein" – etwa durch den Umstand, dass mehr Videodateien oder "Hörverstehensaufgaben" in den Prüfungen zum Einsatz kommen sollen.

Das System müsse zudem "höhere Lastspitzen und deutlich mehr parallele Nutzerzugriffe technisch sicher abbilden können". Vor jedem Prüfungsverfahren soll es daher einen Volllasttest geben. "Sollte es trotz aller Vorkehrungen [...] noch einmal zu einer technischen Störung kommen, werden wir in Zukunft auch dafür Sorge tragen, dass alle Betroffenen frühzeitig und verlässlich über die aktuellen Entwicklungen informiert werden", sagte Feller.

Freigabeschlüssel für Dateien

Den Schulen werde zu dem Zeitpunkt ein Freigabeschlüssel zur Verfügung gestellt. Die Zugangsdaten für den Download gibt es laut Schulministerium weiterhin über den postalischen Weg. Allerdings könnten die Schulen nach Vorgaben der Kultusministerkonferenz die Daten erst am Tag vor der Prüfung einsehen, nach Erhalt des Freigabeschlüssels. Wie genau und über welche digitalen Übertragungswege die Freigabeschlüssel übermittelt werden, ist bislang unklar. Eine Antwort des Schulministeriums auf Anfrage von heise online dazu steht noch aus.

(mack)