Gratis
14. August 2020 - Datenpannen

Sicherheitslücken bei zwei Kultusministerien

Drucken

Gleich zwei Portale von Kultusministerien hatten in der letzten Woche Datenpannen: Sowohl in Niedersachsen als auch in Bayern waren sensible Daten offen im Netz zugänglich.

Bayern sucht Aushilfslehrer - das Portal hatte aber eine Sicherheitslücke (Bild: iStock.com / Halfpoint)

Die Bayern suchen Lehrer, die Niedersachsen wollen Kreative fördern – und beide Bundesländer setzen dafür auf Web-Portale. Nach Berichten des Nachrichtenportals heise und des Magazins für Computertechnik c´t kam es dabei in der letzten Woche zu erheblichen Datenpannen.

Panne 1 im hohen Norden

In Niedersachsen betreibt das Ministerium für Wissenschaft und Kultur ein Portal, auf dem Künstler, Vereine und Museen Fördergelder und Stipendien beantragen können.

Personenebezogene Daten offen im Netz

Ein User, der Fördergelder beantragen wollte, konnte dabei direkt auf sensible Daten von anderen Antragstellern – wie Name, Adresse, Telefonnummer, Lebenslauf, Ausweiskopien und Bankverbindung – zugreifen.

Der Nutzer informierte Heise Security. Und dem Sicherheits-Team fielen noch weitere Datenschutzmängel auf: von der fehlenden Datenschutzerklärung bis zum Benutzerkonto, das sich nicht löschen lässt.

Ministerium schaltet Portal ab

Heise Security machte das niedersächsische Kultusministerium auf die Datenschutzmängel aufmerksam – und das Ministerium schaltete das Portal sofort ab. Externe Sachverständige sollen laut Angaben des Ministeriums den Vorgang nun prüfen.

Panne 2 im tiefen Süden

Das Bayerische Staatsministerium für Unterricht und Kultus sucht wegen der Corona-Pandemie nach Vertretungs- und Team-Lehrkräften und hat dafür das „Bewerberportal für Aushilfsnehmer“ neu eingerichtet.

Schwerwiegende Sicherheitslücke

Auch hier stieß ein Bewerber – als er nachträglich Daten ändern wollte, aber das Passwort vergessen hatte – auf eine schwerwiegende Sicherheitslücke. Ähnlich wie in Niedersachsen war es leicht möglich, sich unbefugt einen Zugang zu personenbezogenen Daten zu verschaffen.

Der Mann kontaktierte heise.de – und das Nachrichtenportal wies das Ministerium auf die Sicherheitslücke hin.

Ministerium entfernt Funktion

Auch das bayerische Kultusministerium reagierte rasch und entfernte noch am gleichen Tag die Passwortfunktion.

Mehr Informationen

Elke Zapf