Vertrauliche Daten tausender österreichischer Schüler und Lehrer waren frei zugänglich

Inhaltsverzeichnis

Vertrauliche Testergebnisse von 400.000 Schülern und persönliche Daten von 37.000 Lehrern an österreichischen Schulen waren monatelang oder gar jahrelang frei im Internet verfügbar. Sie lagen ohne Passwortschutz auf einem rumänischen Server. Das hat die Tageszeitung Die Presse aufgedeckt. In Österreich gehen nun die Wogen hoch, weil sowohl das Unterrichtsministerium als auch dessen Bundesinstitut für Bildungsforschung (Bifie) seit Dezember informiert waren.

Immerhin sollen die Namen der Schüler verschlüsselt sein. Doch die Zugangsdaten der Schulen und Lehrer samt E-Mail-Adressen sind es nicht. So lässt sich aus den Daten genau ablesen, wie gut die Schüler welcher Lehrer abschneiden. Und manchmal ist es nur eine Handvoll Schüler aus einer Klasse, die einen bestimmten Test gemacht haben. Die Daten ermöglichen Vergleiche zwischen einzelnen Lehrern sowie auf Schulebene. Erst Dienstagabend ging der offene Server vom Netz.

Informelle Kompetenzmessung

In der dritten, sechsten und siebten Schulstufe wird an etwa der Hälfte der österreichischen Schulen eine "Informelle Kompetenzmessung" (IKM) durchgeführt. Die Schüler absolvieren Tests in Deutsch, Mathematik und/oder Englisch, wobei das Ergebnis nur für vier Augen bestimmt sein soll: ihre eigenen und die des Lehrers. Zweck ist eine Standortbestimmung, um "Bildungsstandards" überprüfen zu können. In Wien ist die IKM verpflichtend, anderswo hängt es von der einzelnen Schule ab.

Doch so vertraulich, wie viele Schüler glaubten, ist die IKM nicht. Die Ergebnisse werden zentral vom Bifie zusammengeführt. Diese Firma ist Staatseigentum und sammelt intensiv Daten über das österreichische Schulsystem und verschiedene Testergebnisse, darunter die PISA-Tests. Außerdem entwickelt das Bifie zentralisierte Tests wie IKM, Bildungsstandards und die "Zentralmatura": Ab kommendem Jahr sollen alle österreichischen Abiturienten gleichzeitig die selben Fragen beantworten.

Ausgelagerte EDV

Das Bifie wiederum lagert so manche Datenverarbeitung aus. Die IKM-Daten wurden bis 2012 von der Kärntner Zoe Solutions GmbH betreut, dann wurde die Zusammenarbeit beendet. Seither herrscht dicke Luft. Das Bifie schloss einen neuen Vertrag mit der Wiener Kapsch BusinessCom, die auch die Zoe-Tools neu programmieren sollte. Kapsch hatte kurz zuvor den rumänischen Dienstleister Squario IT Solutions übernommen, der nun an dem Projekt arbeitete.

Zoe Solutions erhebt in diesem Zusammenhang den Vorwurf der Verletzung von Immaterialgüterrechten. In einem Briefwechsel informierte Zoe Mitte Dezember das Bifie mit Kopie an die damalige Unterrichtsministerin über einen Verstoß gegen Datenschutzbestimmungen. Die Presse veröffentlichte die Passage: "Die vorgefundenen Daten enthalten die Benutzerdaten aller für IKM registrierten Schulen und Lehrpersonen sowie die Testergebnisse aller Schüler", und zwar ungeschützt. "Jeder Internet-Benutzer hat somit die Möglichkeit, sich die Daten vom Server des betreffenden IT-Unternehmens herunterzuladen."

Klagedrohung und erfolglose Suche nach dem Leck

Das Bifie hat laut Presse, den Hinweis nicht ernst genommen, sondern als "Drohgebärde" abgetan. Anstatt sich für den Hinweis zu bedanken und nach Details zu fragen, reagierte das Bifie verschnupft. Es mokierte sich über die "unnötige" Kopie an die Ministerin und drohte mit Klage für den Fall, dass Zoe Solutions keine genaueren Auskünfte liefere. Der Erfolg dieser Kommunikationsmethode war offenbar bescheiden. Aus dem Ministerium ist keine Reaktion bekannt.

In einer Stellungnahme sagt das Bifie, im Dezember "selbstverständlich sofort Prüfungsmaßnahmen" eingeleitet, aber nichts gefunden zu haben. Erst nachdem Die Presse öffentlich auf den Datenbestand von 1,8 GByte hingewiesen hatte, kam Bewegung in die Sache. Seit Dienstagabend ist der rumänische Server offline.

Stellungnahme von Kapsch

Dienstagabend bat heise online die Firma Kapsch BusinessCom um Stellungnahme. Zu diesem Zeitpunkt war die Website der Kapsch-Gruppe offline. Laut Kapsch steht das aber in keinerlei Zusammenhang mit der rumänischen Angelegenheit, sondern beruhte auf routinemäßigen Wartungsarbeiten.

Kapsch BusinessCom bestätigte gegenüber heise online, seit 2012 IT-Lieferant und Service Provider des Bifie zu sein; auch die rumänische Tochtergesellschaft arbeite da mit. Seit September 2013 sei Squario IT Solutions in die Kapsch BusinessCom integriert. Die Firmengruppe ist selbst noch dabei, sich schlau zu machen. Wann Kapsch erstmals auf das Problem hingewiesen wurde ist in der Firmenzentrale noch nicht bekannt.

Dass die Daten tatsächlich auf einem Kapsch-Server in Rumänien lagen, wird nicht bestätigt, aber auch nicht dementiert. "Wir prüfen selbstverständlich mit der größten Sorgfalt die Causa von unserer Seite, und wir bemühen uns intensiv um eine rasche und lückenlose Analyse und Klärung, ob und wo es zu einem Datenleck gekommen ist", sagte Kapsch-Sprecherin Katharina Riedl, "Zudem können wir den Behörden unsere volle Kooperationsbereitschaft versichern."

Politische Reaktionen

Die Berichte der Presse haben mannigfaltige politische Reaktionen hervorgerufen. Rücktrittsaufforderungen an die Ministerin, parlamentarische Anfragen, verunsicherte Eltern und Schüler, Spekulationen von Datenschützern, Zeitungskommentare mit dem Ruf nach Köpferollen beim Bifie und mehr. Das Institut steht seit Jahren im Kreuzfeuer der Kritik: Zu teuer, zu sinnfern, zu neugierig, zu verschlossen gegenüber wissenschaftlich Forschenden, und überhaupt viel zu politisch, sind oft gehörte Vorwürfe.

Die neue Unterrichtsministerin, Gabriele Heinisch-Hosek (SPÖ), hat die beiden Bifie-Geschäftsführer zum Rapport zitiert und vorerst alle zentralen Tests gestoppt. Nun soll erst einmal die Staatsanwaltschaft ermitteln. Diese ist gerade knapp besetzt, also wird das dauern. Damit wackelt die für Mai vorgesehene Erhebung der Bildungsstandards, und auch die an ausgewählten Schulen geplante Generalprobe für die Zentralmatura ist gefährdet. (anw)