Das am Montag bekannt gewordene Datenleck auf einem Server der Qualitäts- und Unterstützungsagentur (Qualis) des Schulministeriums in NRW umfasste 3765 Datensätze. Das berichtet der „Kölner Stadt-Anzeiger“ (Samstag-Ausgabe) unter Berufung auf Unterlagen, die der Redaktion vorliegen. Demnach standen weit mehr personenbezogene Daten von Lehrerinnen und Lehrern sowie anderen Angestellten von Schulen weitgehend ungeschützt im Internet als bislang bekannt war. Schulministerin Dorothee Feller (CDU) hatte am Mittwoch lediglich berichtet, es handle sich um mehr als 500 Datensätze. Diese Zahl hatte sie am Montag genannt. Neu ist auch, dass nicht nur Namen und E-Mail-Adressen unter den abgeflossenen Daten zu finden sind. In zahlreichen Datensätzen finden sich auch Telefonnummern und Anschriften sowie Funktionsbeschreibungen der Nutzerinnen und Nutzer.
Der IT-Experte und Hacker Carl Fabian Lüpke vom Chaos Computer Club (CCC) sagte dem „Kölner Stadt-Anzeiger“, er habe das Leck bereits am Mittwoch, 19. April, entdeckt und noch am selben Abend mündlich der Notfallstelle CERT des Bundesamts für Sicherheit in der Informationstechnik gemeldet. Am nächsten Tag habe er die Meldung auch schriftlich eingereicht. Daraufhin sei die Sicherheitslücke geschlossen worden. Zuvor sei es möglich gewesen, Nutzerkonten vollständig zu übernehmen und deren Daten und genutzte Dokumente einzusehen. Ein Sprecher des BSI bestätigte den Vorgang der Redaktion: „Das BSI wurde am 19. April 2023 durch einen Sicherheitsforschenden über eine Fehlkonfiguration auf einem Webserver des Landes NRW informiert.“ Das Schulministerium verwies auf Anfrage der Redaktion auf die laufende Untersuchung der Datenpanne mit Unterstützung von IT-Experten des Beratungsunternehmens Ernst & Young. Die von dem Leck betroffenen Personen seien durch das Landesinstitut Qualis „informiert und aufgefordert worden, ihre Passwörter zu ändern“.