Ein geschwärzter Screenshot als Datenleck-Wegweiser

28. Februar 2014, 17:29
150 Postings

Bifie und Zoe Solutions: "Nicht immer friktionsfrei" - Kapsch: "Von langer Hand geplanter Angriff"

Wien - Die Schleier in der Causa Bifie-Datenleck lüften sich langsam, und es zeigt sich eine etwas komplexere Gemengelage als bisher kommuniziert wurde. Laut Presse sollen auf einem rumänischen Server ungeschützt Daten des Bundesinstituts für Bildungsforschung (Bifie) aus der "Informellen Kompetenzmessung" (IKM) von 2011 und 2012 aufgetaucht sein.

Die vom damaligen Direktor des Bifie-Standorts Wien, Josef Lucyshyn - er wurde im März 2012 von Unterrichtsministerin Claudia Schmied (SPÖ) abberufen - engagierte Klagenfurter Firma "zoe solutions GmbH" habe das jetzige Bifie-Direktorium über das Datenleck informiert, das aber fortan zwei Monate offen gewesen sei.

Dem STANDARD wurde der komplette Briefverkehr zwischen Bifie und Zoe Solutions zugespielt. Demnach hat die IT-Firma am 18. Dezember Kontakt mit dem Bifie aufgenommen, zuvorderst aber einen "Verstoß gegen die Softwarelizenzbestimmungen" beklagt. "Bedauerlicherweise" lägen Informationen vor, die bestätigten, dass "Teile unserer Applikation, im konkreten Fall die Datenbank von iiEFS, ohne unser Wissen und ohne unsere Zustimmung an ein ausländisches lT-Unternehmen weitergegeben wurden". Für eine Verletzung des Nutzungsvertrags sei als "Konventionalstrafe das fünffache Nutzungsentgelt der gesamten gewählten Lizenzperiode vereinbart".

Heinisch-Hosek sofort informiert

Im letzten Absatz heißt es: "Zusätzlich" sei "davon auszugehen, dass ein Verstoß gegen die Datenschutzbestimmungen vorliegt". Bis 7. Jänner erwarte man eine Stellungnahme. Die kam zwei Tage später am 20. Dezember. Der Brief habe "gewisses Erstaunen" ausgelöst, schreiben die Bifie-Direktoren Christian Wiesner und Martin Netzer. Man ersuche, die "behaupteten Verstöße zu präzisieren und zu belegen" und werde etwaige Verstöße "umfassend aufarbeiten".

Ministerin Gabriele Heinisch-Hosek (SPÖ) sowie Bifie-Aufsichtsratsvorsitzender Arthur Mettinger sollen sofort über den ersten Zoe-Brief informiert worden sein.

Kapsch BusinessCom - die Firma wurde nach der Trennung Ende 2013 von Zoe Solutions, nach einer, wie im Bifie-Brief steht, "nicht immer friktionsfreien Partnerschaft", engagiert - ging derweil auf Lecksuche, aber: Man fand kein Datenloch.

Es ging ins neue Jahr - ohne Antwort aus Klagenfurt mit konkreten Hinweisen auf ein Leck. Also formulierten Wiesner und Netzer am 4. Februar wieder Post an Zoe Solutions-CEO Stefan Fekonja. Dessen Frau war eine Zeitlang Mitarbeiterin am Bifie Wien, das die IKM betreute. Dieses Dienstverhältnis wurde nach Lucyshyns Abgang, als intern bekannt wurde, dass sie auch Gesellschafterin der Zoe Solutions, die die IKM-Daten verwalten sollte, ist, beendet. Unvereinbar, sagten interne Kritiker.

Zoe-Solutions: "Vor Sicherheitsproblem gewarnt"

In der ersten Urgenz des Bifie wurde noch einmal eine Präzisierung der behaupteten "Vertrags- und Datenschutzverletzung" gefordert - bis 21. Februar. Auch diese Aufforderung blieb ohne Reaktion. Am 24. Februar ging dann die "2. und letzte Urgenz" an Zoe Solutions. Diese habe "schwerwiegende Vorwürfe" gegen das Bifie geäußert, die geeignet seien, den Ruf zu schädigen. "Überdies sieht es das Direktorium als seine Aufgabe, hier bestehende Fehler jedenfalls aufzudecken." Man fordere "letztmalig" bis 7. März die "Übermittlung von Daten", ansonsten sei man gezwungen, die rechtliche Relevanz der Vorwürfe zu prüfen. Kapsch war es nicht gelungen, eine undichte Stelle zu finden.

An diesem 24. reagierte Zoe Solutions auf den Bifie-Brief: So eine "Drohung" sei "nicht der geeignete Ton, mit demjenigen in Verbindung zu treten, von dem anzunehmen ist, dass seine lmmaterialgüterrechte beeinträchtigt wurden". Eine gerichtliche Auseinandersetzung sei wohl unvermeidlich.

Am Spätnachmittag des 25. ging der Presse-Bericht online, und um 19.30 Uhr, als in der ZiB das Bifie-Datenleck lief, ging im Bifie-Mailfach Post von Zoe-CEO Fekonja ein. Ein geschwärzter Screenshot: "Ich habe das relevante File für Sie markiert." Auf STANDARD-Anfrage teilte Zoe Solutions mit, man habe vor dem Sicherheitsproblem gewarnt, "um dem Bifie die Möglichkeit zu geben, dieses ohne größeres Aufsehen zu beseitigen".

Für Kapsch BusinessCom zeigen die Indizien mittlerweile "deutlich in eine Richtung". Es sei "ein von langer Hand geplanter gezielter Angriff auf den Server mit den Bifie-Daten". (Lisa Nimmervoll, DER STANDARD, 1.3.2014)

  • Die letzte Post von Zoe Solutions an das Bifie kam, während der "ZiB" -Bericht über das Datenleck gesendet wurde.
    foto: screenshot

    Die letzte Post von Zoe Solutions an das Bifie kam, während der "ZiB" -Bericht über das Datenleck gesendet wurde.

Share if you care.