Wirklich nur 500 Nutzer betroffen?
Abi-Panne in NRW: Ministerium redet Datenleck klein
Die Probleme im Zusammenhang mit der verschobenen Abiturprüfung in Nordrhein-Westfalen dürften die Verantwortlichen noch eine Weile beschäftigen. Während das zuständige Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen noch versucht, den Vorfall klein zu reden, deutet alles darauf hin, dass damit verbunden persönliche Daten von mehreren Tausend Personen frei zugänglich waren.
https://t.co/xDkxPeUGsQ pic.twitter.com/U2dAoqDBME
— Lilith Wittmann (@LilithWittmann) April 25, 2023
Die verantwortliche Ministerin Dorothee Feller hat derweil eine „umfassende Experten-Analyse“ angekündigt, was gleichermaßen natürlich die Qualifikation ihrer zuvor in diesem Bereich tätigen Mitarbeiter in Frage stellt – „Wir schauen uns hier alles ganz genau an“. Die damit zusammenhängende, vom Bildungsministerium NRW veröffentlichte Pressemitteilung hat derweil selbst massive Kritik auf sich gezogen. Dem Ministerium zufolge bestand im Zusammenhang mit den Problemen vorübergehend die Möglichkeit, 500 Nutzerdaten einer anderen, internen Arbeitsplattform des Landes auszulesen.
Netzaktivisten sprechen von 16.557 Namen
Netzaktivisten weisen im Gegensatz zu den offiziellen Auskünften des Ministeriums darauf hin, dass die Schwachstelle Daten von mehreren Tausend Nutzern preisgegeben hat. Insgesamt habe es sich um 16.557 Namen gehandelt, zu denen in 3.765 fällen auch die E-Mail-Adressen und Berufsbezeichnungen offengelegt wurden.
Mit seiner gestrigen Pressemitteilung hat das nordrhein-westfälische versucht, im Anschluss an den Vorfall die schlimmsten Wogen zu glätten. So sei das Zentralabitur von der im Zusammenhang mit der Datenpanne entdeckten Schwachstelle nicht betroffen gewesen und man ergreife nun umfassende Maßnahmen, in deren Folge auch sämtliche IT-Prozesse der zum Geschäftsbereich des Schulministeriums gehörenden „Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule NRW“ (QUA-LiS NRW) auf den Prüfstand gestellt würden. Den bisherigen Erkenntnissen zufolge war ein dort falsch konfigurierter Server ausschlaggebend für die Vorfälle der vergangenen Woche.
So ist es wenn man bei Ausschreibungen immer den biligsten Anbieter nimmt. Denn eine Grundregel gilt auch weiterhin: Wer wenig zahlt, bekommt auch wenig.
Und es ist noch schlimmer: solche Ausschreibungen haben meist hohe Hürden für die Bewerbung (z.B. mindestens fünf Jahre im Markt, mindestens x Projekte im Public Sector). Damit kommen immer wieder die alten Anbieter zum Zuge, junge Unternehmen haben quasi keine Chance.
Und wenn man aber einen teureren, ggf. besseren Anbieter nimmt, dann heißes wieder, man habe Steuern verschwendet. Das ganze ist leider nicht ganz so einfach, wie manche es sich denken.
Das Problem ist eher, dass viele Behörden ihre eigenen Ausscheibungsgesetze nicht anwenden können. Es ist schon immer so, dass nicht der billigste sondern der wirtschaftlichste Anbieter genommen werden muss und zwar wirtschaftlich über den gesamten Produktlebenszyklus. Das schließt dann auch Wartungskosten etc mit ein. Oft wird aber in den Behörden nur der reine Anschaffungspreis verglichen was dann aber auf die landläufige Aussage rauskommt man hätte den billigsten Anbieter genommen
Bei den Russen & Chinesen würden wir jetzt von bewusster Verbreitung von Falschinformation sprechen, oder nicht?…
Äpfel & Birnen. Aber ja, der böse Westen wieder…
Bewusst? ich glaube, man wusste es zu dem Zeitpunkt nicht besser. Bei allen Datenlecks, wird meist die Zahl später nach oben korrigiert.
Unsere ganze Politik ist eine einzige Panne!
Diese Aussage ist etwa so hilfreich wie „Das Wetter ist immer schlecht“
Welcher Politiker verwaltet den bitte selbst die IT in der Verwaltung?! Die Umsetzung der Vorgaben erfolgt doch durch sogenannte „IT-Experten“ und wenn die solchen Murks fabrizieren, verschwinden die wie Homer Simpson in der Hecke und niemand schimpft auf die eigentlichen Verursacher.
Das problem bei der IT beim Staat ist. Die wollen nur Leute mit Studium und die Bezahlung ist wie bei einem Berufseinsteiger. Die die was reissen können gehen für das doppelte Gehalt in die freie Wirtschaft.
If you pay Peanuts you only get Monkeys.
Ja, natürlich wollen sie studierte Informatiker, bilden aber auch selbst aus. Die Bezahlung ist übrigens nicht so schlecht, wie du sie beschreibst, sondern mittlerweile sehr gut. Es sind weniger die Menschen, als die bürokratischen Prozesse und Hierarchien, die bremsen.
Die einzig ahnungslosen sind da eher die Minister selbst, da sie in den seltensten Fällen einen technischen Hintergrund haben und sich eben auf ihre Berater verlassen müssen.
+1
Hier, ich bin einer von den ITlern die für den Staat arbeiten. Die Bezahlung ist gerade so noch akzeptabel in Kombination mit der quasi Jobgarantie. Es gibt nämlich eh kaum Ersatz trotz eigener Ausbildung in dem Bereich, da in der Wirtschaft faktisch einfach deutlich mehr verdient werden kann, aber in Zeiten einer Krise man auch gerne mal von jetzt auf gleich gefeuert wird.
Das größte Problem ist, dass trotz Hinweisen, auf veraltete Prozesse und kurzfristig günstige Workarounds gesetzt wird. Nach ein paar Monaten/Jahren kann man dann sein „Ich hab’s euch ja gesagt“ Papier hervorkramen und entweder wird dann wieder nur 50% davon beachtet und man dreht eine 3./4. Runde mit erneuten Kosten oder aber es wird einfach so kaputt belassen, weil kein Geld für die vollständige Umsetzung da ist. Oftmals muss man auch noch die 3-5 Jahre abwarten bis die Entscheidungsträger in Rente/Pension verschwinden um eine Verbesserung einbringen zu können, weil bis zu deren Rente an 70er Jahre Prozessen festgehalten wird oder noch schlimmer diese Prozesse versucht werden in aktuelle Software zu quetschen …
Letztens in der Dienstbesprechung: stellen Sie doch einfach mal die DNS Server auf was Besseres um wie Quad9 oder die neuen DNS0.eu, dann sind wir sehr viel besser gegen Phishing Links sicherer
Antwort: nein, geht nicht, Vertrag mit Telekom, die geben da ohne viel Geld nichts frei oder stellen nichts um, weil geliefert wie bestellt (und verdienen an den Daten bestimmt auch noch was). Aber Sie können ja die Mitarbeiter schulen, aber die haben eh keine Zeit für die jährliche Sicherheitsbelehrung
Die IT Kompetenz ist in Deutschland nicht besonders hoch. Ist mittlerweile auch weltweit bekannt.
Dein Kommentar ist panne.
So sieht es derzeit aus!
Gewählt vom Volk.
Schön, dass hier das zuständige Ressort mal nicht von einer Ampel Partei, sondern von der CDU besetzt wird. Da wird einigen hoffentlich mal klar, dass die es 16 Jahre auch nicht besser gemacht haben.
Ich liebe die perfekt reine Weste und das absolut (immer und zwar wirklich immer) fehlerfreie Verhalten eines jeden Mitbürgers… Pauschal natürlich!
Und das berechtigt natürlich jeden anderen auch Scheiße zu machen?
Mir geht das pauschale Genörgel auf den Sack. Ja, Fehler sollten nicht passieren, aber sie passieren… Deswegen wieder pauschal auf DIE Politik zu schimpfen ist nicht hilfreich. Abgesehen davon – die IT wird vermutlich immer durch die gleichen Experten (über den hier kann man streiten) verwaltet – das dürfte ziemlich Parteineutral sein.
Ax, wenn ich mir hier viele Kommentare (auch zu anderen Themen) durchlese, habe ich sehr oft den Eindruck, dass hier nicht auch nur mal kurz nachgedacht wird. Oder die Leute haben einfach nicht mehr in der Birne.
Hier muss man sich an dieses – leider – sehr niedrige Niveau vieler Kommentatoren gewöhnen.
Ja, Ax … so kann man auch meine Empfindungen durchaus ausdrücken, wenn ich die selbstgerechten und pauschalisierenden Kommentare hier lesen!
Schon wieder so einer der den Zug nicht kommen sieht, obwohl der bei 200 km/h nur noch 2 Meter entfernt ist.
Die Bezeichnung “Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule NRW“ ist wohl ein nicht zu überbietender Euphemismus und der Deckmantel für professionelle Unfähigkeiten. Die Verwaltung reiht sich da aber nahtlos in die unfähigen „Computerfirmen“ ein, wenn man etwa betrachtet welche Unfähigkeit etwa Microsoft sich leistet.
Es waren laut Ministerium 500 persönliche Daten von Personen einsehbar…andere Institutionen kommen auf höhere Zahlen…die Experten im Ministerium benötigen halt mehr Zeit, um mit dem Rechenschieber die exakte Anzahl zu ermitteln. Anstatt den eklatanten Fehler einzuräumen, wird wie so häufig in der Politik versucht, den Fehler klein zureden. Schuld waren am Ende so oder so die anderen.
Woher soll das Ministerium das auch wissen? Die bekommen die Angaben vom Dienstleister, der für die Panne verantwortlich war. Und der ist natürlich daran interessiert, das ganze möglichst klein zu reden.
Ich glaube kaum, dass das Kultusministerium überhaupt Ressourcen hat um diese Datenpanne selbst zu analysieren.
Stellt euch doch mal vor, ihr nutzt einen Cloudanbieter. Der gibt dann zu, dass wegen einer Panne Daten von Dir frei im Netz verfügbar waren. Du fragst ihn, welche und wieviele Daten das denn waren und er redet die Anzahl klein.
Ist es dann dein Fehler, wenn Du die falsche Zahl deinen Freunden nennst, deren Daten dann betroffen sind?
Es ist heute mittlerweile immer einfach auf „die Politiker“ zu schimpfen – deshalb will das bekanntlich auch niemand mehr machen. Aber meist können die auch nichts dafür, dass sie mit falschen Daten informiert werden. Und hier ist die Sache wohl recht eindeutig, dass sich eine Frau Feller nicht an ihren PC setzt und versucht herauszufinden, wieviele Datensätze denn tatsächlich sichtbar waren.