Heute noch ein Vorfall, der mich bereits vor einigen Tagen beschäftigte. Ein Leser hatte mir berichtet, dass er im Netz massenhaft Zugangsdaten für einen Server des Schulministeriums von Nordrhein-Westfalen gefunden habe. Ich habe die Verantwortlichen kontaktiert – glücklicherweise stellte es sich nicht so brisant wie befürchtet heraus und das Ganze ist inzwischen auch durch einen Wechsel der Plattform gegenstandslos.
Ein Leserhinweis auf Zugangsdaten
Ein nicht namentlich genannter Blog-Leser hatte mich Anfang September 2025 per Mail kontaktiert, weil ihm auf Telegram angeblich massenhaft Login-Daten für einen Server des Schulministeriums von Nordrhein-Westfalen untergekommen waren.
Es handelt sich wohl um ein Portal, welches vom Schulministerium in Nordrhein-Westfalen für Schulen betrieben wird.
Die Schulen haben eine Zugangs-ID und eine Zugangskennung in Form eines Passworts, mit dem man sich über nachfolgende Seiten am Portal anmelden konnte.
Und genau diese Daten fielen dem Leser in die Hände. Er hat dann stichprobenartig geschaut, ob die Login-Daten gültig seien und konnte auf den internen Bereich des Schulservers zugreifen.
Obiger Screenshot zeigt Bereiche für Prüfungen in Oberstufen etc. An dieser Stelle war dann die Frage offen, wie mit so etwas umzugehen ist und was sich aus den offen gelegten Zugangsdaten für Implikationen ergaben. Ich habe mich bereit erklärt, in diesem Fall das Schulministerium zu informieren.
Sehr positiv war, dass es zeitnah einen Rückruf einer verantwortlichen Person gab, in der wir zuerst die Relevanz sortieren konnten.
Aufklärung des Sachverhalts
Extrem brisant war das Ganze nach der Darstellung nicht, denn die Schulen in NRW müssen ja Zugriff auf das Portal haben, bekamen also die Zugangsdaten. Und die Schulen gaben dann die Zugangsdaten an die Schüler und Schülerinnen weiter, damit diese sich die dort eingestellten Klausuren zur Prüfungsvorbereitung abrufen konnten.
Persönliche Daten waren nicht im Portal vorhanden und die Klausuren waren auch nicht "aktuell", d.h. noch z.B. für das Zentralabitur zu schreiben. Mir wurde erklärt, dass dieser Bereich aus juristischen Gründen durch Zugangsdaten geschützt wurde, weil Verlage die Inhalte nicht öffentlich im Internet sehen wollten.
Weiterhin erfuhr ich im Telefonat, dass dieses Portal bereits in der Ablösung sei und zum neuen Schuljahr abgeschaltet werde. Es blieb nur noch die Frage, ob ein Datenleck oder eine Schwachstelle das Abfischen der Zugangsdaten ermöglichte – es war von mehreren Hundert Datensätzen die Rede.
Zum 23. September 2025 erreichte mich dann die Stellungnahme des Zuständigen, der mich über den abschließenden Sachstand informierte (danke dafür). Hier der betreffende Text.
Sehr geehrter Herr Born,
vielen Dank zunächst noch einmal für Ihren Hinweis zu mutmaßlich geleakten Zugangsdaten zu der von uns betriebenen Plattform Standardsicherung NRW.
Wir nehmen derartige Meldungen durchweg ernst und haben daher unverzüglich verschiedene Maßnahmen ergriffen, über die wir Sie an dieser Stelle sehr gerne unterrichten:
1. Intern
Wir haben zunächst direkt und unverzüglich die zuständigen Stellen für Datenschutz und Informationssicherheit im Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen sowie bei uns in der QUA-LiS NRW informiert und im Weiteren bei allen weiteren Maßnahmen beteiligt.
2. Extern
2.1 Überprüfung des Sachverhaltes
Zur Prüfung des Sachverhaltes wurde zudem direkt und unverzüglich eine unabhängige forensische Untersuchung durch eine externe Fachfirma eingeleitet. Diese Firma konnte – bezogen auf die Plattform Standardsicherung NRW – keine Hinweise auf ein Datenleck in unseren Systemen feststellen. Zudem wurde festgestellt, dass weder personenbezogene Daten, noch aktive administrative Zugänge betroffen waren, da es sich bei den kursierenden Daten – wie bereits telefonisch erwähnt – nicht um personenbezogene Benutzerdaten, sondern um schulnummernbezogene Zugangscodes, die temporär und ausschließlich zur Abiturvorbereitung den Zugriff auf urheberrechtlich geschützte alte Prüfungsunterlagen (letzte drei Jahrgänge) ermöglichen, handelt. Wenngleich die interne Weitergabe dieser Daten innerhalb einer Schule im Verfahren vorgesehen ist, nehmen wir die öffentliche Verbreitung solcher Daten gleichwohl ebenso ernst und haben entsprechende Gegenmaßnahmen ergriffen.
2.2 Ergreifen von Gegenmaßnahmen
Zwischenzeitlich wurde die IT-Infrastruktur der Standardsicherung NRW zudem wie geplant modernisiert. Das Portal wurde dazu durch IT.NRW vollständig neu entwickelt und ist am 22.09.2025 auf den Servern von IT.NRW in Betrieb genommen worden.
Im Zuge dieser Umstellung wurden sämtliche Zugangsdaten neu generiert und am letzten Montag, dem 15. September 2025, an alle Schulen übermittelt. Eventuell im Umlauf befindliche frühere Codes sind damit endgültig ungültig und keinesfalls mehr verwendbar.
Wir hoffen, dass wir den Sachverhalt mit dieser Darstellung für Sie transparent einordnen konnten, und danken Ihnen noch einmal für den Hinweis.
Für weitere Rückfragen stehen wir Ihnen selbstverständlich gerne zur Verfügung.
Das Thema ist daher abgeräumt, die Schulbehörde bzw. deren IT hat unverzüglich und in meinen Augen professionell reagiert. Zudem stellte sich schnell heraus, dass das Ganze unkritisch war. Wenn wir aber nicht den "Modern Solutions"-Fall mit §202c hätten, hätte der Blog-Leser das Ganze auch direkt an das Schulministerium melden können. Hätte, hätte, Fahrradkette – zeigt aber, wie es in Deutschland gehandhabt werden muss.
MVP: 2013 – 2016
Gerade in Deutschland wird sich aufgrund von "Modern Solutions" niemand mehr die "Finger verbrennen" – eher lassen sie die Betroffenen brennen ->
Deutschland ≠ Digitalität
War es nie, ist es nicht und wird es nie sein!