Eingelangt am 12.05.2014
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
BM
für Bildung und Frauen
Anfragebeantwortung
|
Frau
Präsidentin
des Nationalrates
Mag. Barbara
Prammer
Parlament
1017 Wien
|
Wien,
9. Mai 2014
Die
schriftliche parlamentarische Anfrage Nr. 999/J-NR/2014 betreffend
sorgloser Umgang des BIFIE mit vertraulichen Daten, die die Abg. Dr. Walter
Rosenkranz, Kolleginnen und Kollegen am 12. März 2014 an mich
richteten, wird wie folgt beantwortet:
Zu Fragen 1 und 2:
Hinsichtlich der Aufklärung dieser Frage laufen zum
Stichtag der Anfrage noch die Ermittlungen der Kriminalpolizei und der
Staatsanwaltschaft, die nach Bekanntwerden der Datenproblematik umgehend vom
Bundesministerium und dem Direktorium des Bundesinstituts für Bildungsforschung,
Innovation und Entwicklung des österreichischen Schulwesens (BIFIE)
eingeschaltet wurden.
Zu Fragen 3 und 4:
Vorausgeschickt wird, dass IKM
für Informelle Kompetenzmessung steht. Lehrerinnen und Lehrer der 3. und
7. Schulstufe können ihre Klassen dafür anmelden, um einen
Eindruck zu gewinnen, ob diese in Hinblick auf die Bildungsstandard-Testungen
in der 4. und 8. Schulstufe auf dem richtigen Weg sind. Die Teilnahme der
Klassen ist also freiwillig und beruht auf Initiative der Lehrperson. Die
kolportierte „Rangliste der besten Schulen“ bzw. der „besten
und schlechtesten Lehrer“ lässt sich aus jenen Daten, die auf dem
Server gespeichert waren, nicht ableiten – alle Schülerdaten waren
zudem anonym. Konsequenzen aus IKM-Testungen können lediglich von den
jeweiligen Lehrpersonen gezogen werden, die über die Ergebnisse ihrer
Schülerinnen und Schüler verfügen. Eine zentrale Auswertung
erfolgt nicht und ist auch nie vorgesehen worden.
Zu Frage 5:
Ja, allerdings wird die
Durchführung der IKM in diesem Frühjahr sowohl für die
Volksschulen als auch für die Sekundarstufe I nur als Download aller
Materialien seitens der Schulen von der BIFIE-Website möglich sein. Das
BIFIE versendet also derzeit keine Produkte des BIFIE (Testunterlagen etc.) an
Schulen, weder dinglich noch elektronisch, wie dies zuvor üblich gewesen
ist.
Zu Fragen 6 bis 8:
Ja, vorweg wird auf die Ausführungen zu
Fragen 1 und 2 verwiesen. Am 18. Dezember 2013 erging ein
Schreiben der Firma Zoe Solutions GmbH bzw. eines Vertreters dieser Firma an
die Direktoren des Bundesinstituts für Bildungsforschung, Innovation und
Entwicklung des österreichischen Schulwesens (BIFIE) sowie in Kopie an die
Bundesministerin (damals) für Unterricht, Kunst und Kultur und an den
Vorsitzenden des Aufsichtsrates des BIFIE. In diesem Schreiben, das sich
zunächst primär und ausführlich mit möglichen
Rechtstreitigkeiten zwischen dem BIFIE und der Firma Zoe Solutions GmbH
befasste, wurde im letzten Absatz ganz generell und ohne jegliche genauere
Angabe (zB. welcher Server ist betroffen, Nennung des URL o.ä.) auf einen
„Verstoß gegen Datenschutzbestimmungen“ hingewiesen.
Das BIFIE leitete seinerseits das Schreiben, wie auch ein
erstes Antwortschreiben an die Firma Zoe Solutions GmbH vom
20. Dezember 2013, in dem um Konkretisierung der Angaben ersucht
wurde, an den Aufsichtsratsvorsitzenden des BIFIE wie auch an das
Bundesministerium weiter. Alle Schreiben an Zoe Solutions
GmbH wurden jeweils von beiden Direktoren unterzeichnet, da beide laut
Institutsordnung auch für den Bereich IT, im BIFIE im Department
„Zentrales Management & Services“ verankert, zuständig
sind.
Das
Bundesministerium (damals) für
Unterricht, Kunst und Kultur hat in der Folge umgehend
Kontakt mit dem BIFIE aufgenommen und um Aufklärung in der Angelegenheit
ersucht. Zunächst erfolgten mündliche bzw. telefonische
Kontakte und noch vor Weihnachten erhielt das Bundesministerium die Mitteilung,
dass weder das BIFIE noch die Firma Kapsch BusinessCom AG die öffentliche
Verfügbarkeit der Daten bestätigen könne. Weiters wurde das
BIFIE mit Schreiben vom 9. Jänner 2014 auch um eine schriftliche
Stellungnahme zu dem Schreiben der Firma Zoe Solutions GmbH
aufgefordert. Diese Stellungnahme seitens des BIFIE traf
mit 15. Jänner 2014 im Bundesministerium ein. Das Direktorium legte in diesem Schreiben dar, dass es sich
bereits intensiv um die Aufklärung dieses „Verstoßes“
kümmere, bisher aber keinerlei Hinweise habe, dass ein solcher
Verstoß tatsächlich eingetreten sei. Auch versuchte das BIFIE
gemeinsam mit seiner Partnerfirma Kapsch BusinessCom AG, die den Auftrag zur
Entwicklung der IKM-Plattform erhalten hatte, eine Sicherheitslücke
aufzuspüren. Diese dokumentierten Bemühungen hatten allerdings
keinerlei Erfolg.
In
der Folge gab es mehrere Schreiben des BIFIE an die Firma Zoe Solutions GmbH,
in denen um Aufklärung ersucht wurde, die alle unbeantwortet blieben. Auch
telefonische Urgenz führte zu keinen konkreteren Angaben. Mit Datum
24. Februar 2014 – also einen Tag vor Bekanntwerden des
„Datenlecks“ durch die Tageszeitung „Die Presse“
erhielt das BIFIE dann ein Schreiben von Zoe Solutions GmbH, in dem weitere rechtliche
Schritte angekündigt wurden. Das Schreiben enthielt keine Information zu
dem zuvor angeführten „Datenleck“.
Am
25. Februar 2014 übermittelte die Firma Zoe Solutions GmbH bzw. deren Vertreter in
einer E-Mail an einen der beiden Direktoren des BIFIE einen Screenshot des
„Datenlecks“ – allerdings mit geschwärztem URL. In der
Folge erstattete das Direktorium des BIFIE eine Anzeige bei der
Staatsanwaltschaft, da es sich ganz offenbar um eine gezielte Attacke auf Daten
des BIFIE, die bei Kapsch BusinessCom
AG gespeichert wurden, handelte. Gegenwärtig
ermitteln Staatsanwaltschaft und Kriminalpolizei.
Zu Fragen 9 bis 11:
Das BIFIE hat
nach mehreren Verifikationsschritten der Datenbank am
14. März 2014 eine sogenannte „Data Breach
Notification“ (Bekanntgabe gemäß § 24 Abs. 2a
DSG 2000) auf der Homepage veröffentlicht, um alle Betroffenen
über den Vorfall zu informieren.
Zu Frage 12:
Die
Ressortleitung hat zunächst einen Teststopp für alle Erhebungen des
BIFIE (insbesondere Bildungsstandards-Erhebung in Deutsch 4. und
8. Schulstufe in 2015 sowie Feldtests von PISA 2015 und
TIMSS 2015) verfügt. Zudem wird die Sicherheit der beim BIFIE
gespeicherten Daten extern durch TÜV Austria überprüft. Weiters
wartet das Bundesministerium für Bildung und Frauen die Ergebnisse der
Ermittlungen von Kriminalpolizei und Staatsanwaltschaft ab.
Die Bundesministerin:
Gabriele Heinisch-Hosek eh.
