OnMark-Portal: CBSE schließt 45 Sicherheitslücken nach Ethik-Hacker-Bericht

Das indische Bildungsboard CBSE hat nach schwerwiegenden Sicherheitsvorfällen die Kontrolle über sein digitales Prüfungsportal zurückgewonnen. Ein 19-jähriger Ethik-Hacker hatte Schwachstellen aufgedeckt.

Die Central Board of Secondary Education (CBSE) bestätigte am heutigen Sonntag, dass die identifizierten Sicherheitslücken im OnMark-Portal geschlossen wurden. Zuvor hatte der ethische Hacker Nisarga Adhikary öffentlich gemacht, dass ein AWS-Speichercontainer mit eingescannten Antwortbögen und Prüfungsfragen ohne Authentifizierung zugänglich war.

Im Bildungssektor werden oft unbemerkt psychologische Schwachstellen ausgenutzt, was zu massiven Datenlecks führen kann. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie Sicherheitslücken proaktiv schließen. 7 psychologische Schwachstellen jetzt entlarven

Schwachstellen im digitalen Bewertungssystem

Adhikary, selbst 19 Jahre alt, hatte bereits Ende Februar 2025 rund 45 Sicherheitslücken an die indische Computer-Notfallbehörde CERT-In gemeldet. Besonders brisant: Ein fest codiertes Master-Passwort hätte Unbefugten ermöglicht, Antwortbögen zu bewerten.

Die CBSE reagierte umgehend und zog Cybersicherheitsexperten von Regierungsbehörden sowie den renommierten Technologieinstituten IIT Madras und IIT Kanpur hinzu. Das System wurde einer gründlichen Sicherheitsprüfung unterzogen. Nun erwägt das Board finanzielle Sanktionen gegen den beauftragten Dienstleister Coempt Edutech Pvt Ltd.

Der aktuelle Prüfungszyklus ist der erste vollständig digitale für die Class-12-Ergebnisse. Rund 98 Lakh Antwortbögen – das entspricht etwa 9,8 Millionen – von 18 Lakh Schülern (1,8 Millionen) müssen verarbeitet werden.

Zahlungsportal nach Angriff wieder geöffnet

Parallel dazu öffnet die CBSE am morgigen Montag ihr Portal für Nachprüfungen (Post-Result Activities, PRA) erneut. Der ursprüngliche Start war durch einen gezielten Angriff auf das HDFC-Zahlungsgateway am 19. Mai 2026 gestört worden. Damals sahen 50 Schüler schwankende Gebührenanzeigen zwischen einer Rupie und umgerechnet rund 750 Euro.

Hackerangriffe auf digitale Infrastrukturen nehmen weltweit zu, wobei oft neue KI-Technologien und gesetzliche Lücken ausgenutzt werden. Erfahren Sie im gratis E-Book, welche Cyberrisiken auf Ihr Unternehmen zukommen und wie Sie sich ohne hohe Investitionen schützen. Gratis-Report zu Cyber Security Trends anfordern

Die Behörde handelte schnell: Das kompromittierte Gateway wurde entfernt, vier öffentliche Banken – State Bank of India, Canara Bank, Indian Bank und Bank of Maharashtra – übernehmen künftig die Transaktionsabwicklung. Zudem wanderte das Portal auf die AWS-Cloud, um die Infrastruktur widerstandsfähiger zu machen.

Bildungsminister Dharmendra Pradhan traf sich bereits am 24. Mai mit Finanzministerin Nirmala Sitharaman, um die Lage zu besprechen. Die CBSE betont, dass beim Zahlungsgateway-Vorfall keine Schülerdaten abgeflossen seien.

Sicherheitsprobleme im gesamten Bildungssektor

Die CBSE-Vorfälle sind kein Einzelfall. Ende April 2025 traf ein schwerer Angriff die Lernplattform Canvas LMS des Anbieters Instructure. Die Hackergruppe ShinyHunters erbeutete Daten von rund 275 Millionen Nutzern aus 8.809 Bildungseinrichtungen weltweit – darunter Namen, E-Mails und Studentenausweise. Insgesamt flohen 3,65 Terabyte an Daten. Betroffene reichten am 13. Mai 2026 eine Sammelklage ein.

Auch die Qualität der Digitalisierung bei der CBSE gibt Anlass zur Kritik. Schüler berichten, dass einige Antwortbögen offenbar mit Handykameras eingescannt wurden – erkennbar an Schatten und Knicken. Mindestens 23 Fälle von vertauschten Antwortbögen wurden während der Nachprüfung entdeckt.

Trotz aller Pannen versichert die CBSE, dass die Integrität der Noten und Bewertungsdaten nach den jüngsten Sicherheitsmaßnahmen gewahrt sei. Ob das Vertrauen der Schüler und Eltern zurückkehrt, wird sich zeigen – der morgige Neustart des Portals wird zum Gradmesser.

de | wissenschaft | 69457931 |