Wien - "Das war kein Datenleck, sondern ein von langer Hand geplanter gezielter Angriff": Das ist das Ergebnis der ersten Analysen der Kapsch Businesscom in der Causa um die Schülerdaten des Bundesinstituts für Bildungsforschung (Bifie). Laut Kapsch-Businesscom-Geschäftsführer Franz Semmernegg müsse über einen Insider eine Schadsoftware eingespielt worden sein.

Die Kapsch-Tochter betreute für das Bifie die Applikation jener Tests, deren Ergebnisse öffentlich zugänglich waren. "Der Server und die Daten waren gesichert, der Folder mit den betroffenen Daten passwortgeschützt, und der Prototyp der Applikation, ebenfalls auf dem Server, war nur einem beschränkten Personenkreis zugänglich", sagte Semmernegg am Freitag. Über einen Schadcode seien die Schutzmechanismen ausgehebelt und das gesicherte Verzeichnis mit den Daten der Informellen Kompetenzmessung (IKM) zugänglich gemacht worden.

"Schlüssel nachgemacht"

"Stellen sie sich vor, Sie haben eine Wohnung, für die einige einen Schlüssel besitzen", bemühte Semmernegg einen Vergleich. "Das ist auch so legitimiert, weil in der Wohnung gearbeitet wird. Derjenige, der die Schadsoftware eingespielt hat, hatte auch einen Schlüssel - das muss aber nicht jemand sein, der ihn auch legal hatte, es kann auch jemand sein, der ihn sich über einen legalen Besitzer nachgemacht hat." Anschließend habe der Schädiger ein Fenster in die Wohnung gestemmt und zur Tarnung einen Kasten davorgestellt. Über dieses Fenster habe dann der Zugriff erfolgen können. Mittlerweile sei das Fenster aber wieder zugemauert.

Ein Hacker sei offenbar nicht am Werk gewesen, meinte Semmernegg: "Hacking wäre es, wenn jemand die Tür aufgebrochen hätte. Und Nachlässigkeit, wenn die Tür keine Schlösser gehabt hätte oder nicht gescheit versperrt gewesen wäre. Die Tür hatte aber versperrte Sicherheitsschlösser." Die IT-Securityspezialisten des Unternehmens hätten die Schadsoftware erst nach eineinhalb Tagen Suche gefunden.

Das Verzeichnis tatsächlich einsehen konnte laut Semmernegg nur jemand, der die genaue URL und Verzeichnisstruktur des Servers kannte - beziehungsweise beim Wohnungsvergleich genau gewusst habe, wo Fenster und Kasten stünden. "Man kann das nicht einfach googeln." Die Daten seien "nicht auf der Straße gelegen".

"Nie 100-prozentig sicher"

Die absolute Sicherheit bei IT-System gibt es für den Geschäftsführer nicht: "Gegen solche Sachen ist man nie hundertprozentig gefeit. Dass jemand den Schlüssel aus der Hand gibt, dieser nachgemacht wird oder der Schlüsselinhaber ihn missbräuchlich verwendet, kann man nie ausschließen. Das schwächste Glied in der Kette ist immer der Mensch."

Auf einem Webserver in Rumänien waren vertrauliche Daten aus der Informellen Kompetenzmessung (IKM) aufgetaucht, bei der sich Schüler der 3. Klasse Volksschule bzw. 2. und 3. Klasse Hauptschule/NMS/AHS auf die Bildungsstandardtests vorbereiten können. Dabei sollen 400.000 Testergebnisse aus den Jahren 2011 und 2012 sowie die Mail-Adressen von 37.000 Lehrern öffentlich zugänglich gewesen sein. Die Testergebnisse können zwar keinen Schülern zugeordnet werden, deren Abschneiden aber einem bestimmten Lehrer bzw. einer bestimmten Schule.

Volksanwaltschaft prüft

Volksanwalt Peter Fichtenbauer (FPÖ) leitet aufgrund des Lecks ein amtswegiges Prüfverfahren ein. Er will von Unterrichtsministerin Gabriele Heinisch-Hosek (SPÖ) wissen, wie es dazu kommen konnte und welche Maßnahmen "zur Aufklärung und vor allem Vermeidung derartiger Pannen" ergriffen worden seien, hieß es in einer Aussendung.

"Schüler- und Lehrerdaten dürfen nicht durch ein IT-Scheunentor ausspioniert werden. Es ist daher Anlass gegeben, alle Aspekte eines behördlichen Missstandes zu prüfen", so Fichtenbauer. Kritik übte er vor allem daran, dass das Problem bereits seit Dezember bekannt gewesen sei und erst durch Medienberichte an die Öffentlichkeit kam. Das Prüfverfahren solle daher auch Aufschluss darüber geben, "seit wann die Verantwortlichen vom Leck wussten, und ob die Gegenmaßnahmen genügend rasch und effizient gesetzt wurden". (APA, 28.2.2014)