Eingelangt am 25.04.2014
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

BM für Bildung und Frauen

Anfragebeantwortung

 

Frau

Präsidentin des Nationalrates

Mag. Barbara Prammer

Parlament

1017 Wien

 

 

Wien, 24. April 2014

 

 

 

Die schriftliche parlamentarische Anfrage Nr. 868/J-NR/2014 betreffend Datenleck im Bifie (Bundesinstitut für Bildungsforschung, Innovation und Entwicklung im österreichischen Schulwesen), die die Abg. Dr. Harald Walser, Kolleginnen und Kollegen am 27. Februar 2014 an die Bundesministerin für Unterricht, Kunst und Kultur richteten, wird wie folgt beantwortet:

 

Zu Fragen 1 und 2:

Am 18. Dezember 2013 erging ein Schreiben der Firma Zoe Solutions GmbH bzw. eines Vertreters dieser Firma an die Direktoren des Bundesinstituts für Bildungsforschung, Innovation und Entwicklung des österreichischen Schulwesens (BIFIE) sowie in Kopie an die Bundes­ministerin (damals) für Unterricht, Kunst und Kultur und an den Vorsitzenden des Aufsichtsrates des BIFIE. In diesem Schreiben, das sich zunächst primär und ausführlich mit möglichen Rechtstreitigkeiten zwischen dem BIFIE und der Firma Zoe Solutions GmbH befasste, wurde im letzten Absatz ganz generell und ohne jegliche genauere Angabe (zB. welcher Server ist betroffen, Nennung des URL o.ä.) auf einen „Verstoß gegen Datenschutzbestimmungen“ sowie „auf vorgefundene Daten aller für die IKM registrierten Schulen und Lehrpersonen sowie die Testergebnisse aller Schülerinnen und Schüler“ hingewiesen. Das BIFIE informierte umgehend die Partnerfirma Kapsch BusinessCom AG, die mit der Entwicklung der IKM(Informellen Kompetenzmessung)-Plattform beauftragt war. Eine Überprüfung der Datensicherheit durch die Partnerfirma ließ keine Gefährdung erkennen, woraufhin das BIFIE am 20. Dezember 2013 ein Schreiben an die Firma Zoe Solutions GmbH richtete, in dem um Konkretisierung der Vorwürfe ersucht wurde. Dieses blieb unbeantwortet. Daraufhin wurde am 4. Februar sowie am 22. Februar 2014 neuerlich bei der Firma Zoe Solutions GmbH bzw. deren Vertreter urgiert, ihre bzw. seine Vorwürfe zu präzisieren. Auch diese Schreiben blieben unbeantwortet. Auch eine telefonische Urgenz führte zu keinen konkreteren Angaben. Das BIFIE leitete seinerseits das Schreiben vom 20. Dezember 2013 an den Aufsichtsratsvorsitzenden des BIFIE wie auch an das Bundesministerium weiter.

 

Zu Fragen 3 und 4:

Das Bundesministerium (damals) für Unterricht, Kunst und Kultur hat in der Folge umgehend Kontakt mit dem BIFIE aufgenommen und um Aufklärung in der Angelegenheit ersucht. Nach zunächst mündlichen bzw. telefonischen Kontakten wurde das BIFIE mit Schreiben vom 9. Jänner 2014 auch um eine schriftliche Stellungnahme zu dem Schreiben der Firma Zoe Solutions GmbH aufgefordert. Diese Stellungnahme seitens des BIFIE traf mit 15. Jänner 2014 im Bundesministerium ein. Das Direktorium legte in diesem Schreiben dar, dass es sich bereits intensiv um die Aufklärung dieser „Behauptungen“ kümmere, bisher aber keinerlei Hinweise habe, dass ein solcher Vorfall tatsächlich eingetreten sei. Das BIFIE hatte bereits ab 19. Dezember 2013 mit seiner Partnerfirma Kapsch BusinessCom AG Kontakt aufgenommen und von Seiten der Partnerfirma wurde nach Prüfungsvorgängen mehrmals versichert, dass keine Daten öffentlich zugänglich seien.

 

Zu Frage 5:

In dem Gespräch wurde eine lückenlose und vollständige Aufklärung des Sachverhalts vereinbart sowie die weiteren Konsequenzen diskutiert. Als eine der Sofortmaßnahmen wurde vom BIFIE umgehend eine Sachverhaltsdarstellung an die Staatsanwaltschaft gesendet, auch wurden das Bundeskriminalamt, der Generaldirektor für öffentliche Sicherheit und das Innenministerium informiert. Auf Grund des von einer Tageszeitung übermittelten Zugangs zu der betroffenen Datenbank (Zusendung der IP-Adresse) konnte die Partnerfirma des BIFIE den Zugang sofort unterbinden.

 

Zu Fragen 6 und 10:

Nach Auskunft des BIFIE wurden noch unter dem vormaligen, von der damaligen Ressortleitung mit Ende März 2012 abberufenen Direktor des BIFIE verschiedene Verträge im Bereich der Standardisierten kompetenzorientierten Reife- und Diplomprüfung (SRDP) und der Informellen Kompetenzmessung (IKM) mit Zoe Solutions geschlossen. Die Firma Zoe Solutions hatte in den ersten Verträgen ab 2009 mit dem BIFIE zunächst ihren Sitz als Zoe-Solutions-Limited in 162 High Street, Tonbridge, Kent und ab 2010 als Zoe Solutions GmbH ihren Sitz in Khevenhüllerstrasse 11/14, Klagenfurt am Wörthersee; vgl. dazu auch den allgemein zugänglichen Internetauftritt unter https://www.zoesolutions.eu/, wonach ein weiterer Firmensitz laut Homepage in Südafrika unter 4 Alexander Ave, Hout Bay 7806 geführt wird. Unter den im Zeitraum 1. April 2012 bis 31. März 2013 tätigen Direktoren des BIFIE sowie, ab 1. April 2013, unter den aktuell amtierenden Direktoren wurden alle Verträge mit Zoe Solutions GmbH sukzessive gekündigt. Gründe hierfür waren gravierende und deutliche Schwierigkeiten mit dem Unternehmen sowohl im Bereich der SRDP als auch der IKM. Diese Schwierigkeiten im Bereich der IT-Infrastruktur wurden in mehreren Berichten, etwa vom Wirtschaftsprüfer in 2012 oder von einem vereidigten IT-Sachverständigen in 2012, ausführlich dargelegt und führten zur besagten Beendigung der Zusammenarbeit mit 31. Dezember 2013. Auch die Trennung von der Zoe Solutions GmbH verlief alles andere als friktionsfrei, so wurden im genannten Schreiben vom 18. Dezember 2013 wie auch in einem weiteren Schreiben vom 25. Februar 2014 Klagen gegen das BIFIE angedroht. Da die vom BIFIE mit der Entwicklung der IKM-Plattform beauftrage Firma Kapsch BusinessCom AG trotz mehrmaliger Überprüfung keine Sicherheitsmängel entdecken konnte, kam es zu der besagten Einschätzung durch das BIFIE-Direktorium.

 

Zu Fragen 7 und 9:

Nach den vorliegenden Informationen wurden die auf dem rumänischen Server gespeicherten Daten weder „versehentlich ungesichert veröffentlicht“ noch „wurden Daten des BIFIE entwendet und von Dritten illegal veröffentlicht“. In einem bestimmten Zeitraum bestand für jene Personen, die über den genauen URL (IP-Adresse) verfügten – und nur für diese – die Möglichkeit, die Daten einzusehen und auch herunterzuladen. Dieser URL konnte nicht gegoogelt werden, auch gelang es weder der Partnerfirma Kapsch BusinessCom AG noch dem BIFIE, diesen URL überhaupt im Web zu finden. Erst durch eine Information der Tageszeitung „Die Presse“ am 25. Februar 2014 wurden dem Bundesministerium, dem BIFIE und der Partnerfirma des BIFIE, die für den Server verantwortlich war, der URL erstmals bekannt. In der Folge wurde der Server sofort gesperrt und die dort befindlichen Daten noch am gleichen Tag gelöscht.

Die unzulässigen Zugriffe auf die Datenbank zur Informellen Kompetenzmessung (IKM) auf dem Entwicklungsserver der BIFIE-Partnerfirma enthält die E-Mail-Adressen aller Lehrkräfte und Schulleitungen, mit denen sich diese im Zeitraum von 25. März 2011 bis 30. Dezember 2012 auf der IKM-Plattform angemeldet haben. Die Datenbank enthält keine sonstigen personen­bezogenen Daten von Lehrerinnen und Lehrern oder Schülerinnen und Schülern. Sämtliche Testergebnisse von Schülerinnen und Schülern sind für das BIFIE oder Personen, die in die Datenbank Einblick haben, anonym. Die Datenbank enthält diagnostische Aufgaben, mit welchen Lehrerinnen und Lehrer die Kompetenzen der Schülerinnen und Schüler für eine spätere Förderung ermitteln können; es können aus den Testergebnissen keine Vergleiche abgeleitet werden, die Testergebnisse sind nicht unter standardisierten Bedingungen entstanden. Der Entwicklungsserver auf der sich die Datenbank befand, war laut Angaben der Partnerfirma des BIFIE nicht ungeschützt, sondern gesichert, passwortgeschützt, verschlüsselt und nur einer eingeschränkten Liste von fixen IP-Adressen zugänglich. Mittels eines platzierten Symbolic Link wurden die Daten laut Kapsch BusinessCom AG zugänglich gemacht, jedoch nur wenn der genaue URL (IP-Adresse) einem zugreifenden Dritten bekannt war – und nur für diesen – bestand die Möglichkeit, die Daten einzusehen und auch herunterzuladen. Die Daten bzw. die betroffene Datenbank waren nicht indexiert, dh. über diverse Suchfunktionen (google, webcrawler) konnten die Dateien auch nicht gefunden werden. Sonstige Daten oder Daten­banken, mit denen das BIFIE arbeitet, sind von diesem Vorfall nicht betroffen.

 

Zu Frage 8:

Das BIFIE hat nach mehreren Verifikationsschritten der Datenbank am 14. März 2014 eine sogenannte „Data Breach Notification“ (Bekanntgabe gemäß § 24 Abs. 2a DSG 2000) auf der Homepage veröffentlicht, um alle Betroffenen über den Vorfall zu informieren.

 

 

 

Die Bundesministerin:

 

Gabriele Heinisch-Hosek eh.