Datenleck: 400.000 vertrauliche Schülertests im Internet aufgetaucht

THEMENBILD: BILDUNGSSTANDARD-TEST
THEMENBILD: BILDUNGSSTANDARD-TESTAPA/BARBARA GINDL
  • Drucken

"Die Presse" exklusiv: Geheime Testergebnisse österreichischer Schüler sowie die E-Mail-Adressen von 37.000 Lehrern liegen ungeschützt auf einem rumänischen Internetserver. Das zuständige Bundesinstitut für Bildungsforschung wusste es – und handelte nicht.

Eigentlich waren die Tests für vier Augen bestimmt - jene des Lehrers und jene des Schülers. Jetzt sind mehr als 400.000 Testergebnisse und Daten von 37.000 Lehrern im Internet aufgetaucht. Sie liegen auf einem rumänischen Server - unverschlüsselt und ungeschützt. Und damit weltweit für jeden Internetbenutzer einsehbar.

Es handelt sich um das womöglich größte Datenleck in der österreichischen Schulgeschichte. Insgesamt 1,8 Gigabyte an sensiblen Informationen liegen der „Presse" vor. Sind die Daten in eine Datenbank eingespeist, sind nicht nur die Testaufgaben ersichtlich, sondern auch die Ergebnisse der Schüler und die E-Mail-Adressen der Lehrer.

Mit diesen Informationen lässt sich genau feststellen, wie gut eine einzelne Schule und wie erfolgreich die Schüler eines bestimmten Lehrers abgeschnitten haben. Am Ende kann nicht nur ein Ranking der besten Schulen, sondern auch eine Rangliste der besten und schlechtesten Lehrer erstellt werden. Nur die Schülernamen sind verschlüsselt.
Wie diese sensiblen Daten auf dem Server landeten, ist bislang nicht klar. Fest steht, dass sie niemals dort hätten landen dürfen. Es sind geheime Informationen des Bundesinstituts für Bildungsforschung (BIFIE), das an das Unterrichtsministerium angedockt ist.

Die Daten wurden vom BIFIE bei der sogenannten Informellen Kompetenzmessung (IKM) in den Jahren 2011 und 2012 gesammelt. Der Test wird in der dritten Klasse Volksschule in Deutsch und Mathematik sowie in der Hauptschule, Neuen Mittelschule und im Gymnasium in der zweiten und dritten Klasse zusätzlich im Fach Englisch eingesetzt. Die Schulen können den Test zur Selbstevaluierung und Vorbereitung auf die Bildungsstandards durchführen. In Wien ist die IKM-Überprüfung sogar verpflichtend.
Österreichweit haben sich 3227 Schulen, fast jede zweite Schule, für die IKM registriert. Von der Volksschule Bludenz in Vorarlberg über die Hauptschule Schörfling in Oberösterreich bis hin zum Schottengymnasium in Wien.

Das Leistungsspektrum ist breit. Ein Beispiel: Die Englischlehrerin Monika B. (Name von der Redaktion geändert) von einer Hauptschule in Oberösterreich nahm mit acht Schülern am Test teil. Der schlechteste ihrer Schüler hat nur sieben von 30 Aufgaben richtig gelöst. Der beste schaffte 14. Damit sind alle Schüler von Frau B. schlechter als jene von Sonja M., die an einer AHS im selben Bundesland unterrichtet.

Auch das Ministerium wusste davon

Dabei suggeriert der Test Sicherheit: „Welcome, zu deiner ganz persönlichen Leseverständigungsübung" ist in der Angabe zu lesen. Dass die Sache nicht mehr „ganz persönlich" ist, wissen BIFIE und Ministerium schon seit Längerem. Am 18. Dezember hat die Firma Zoe Solutions GmbH, die mit dem BIFIE für den Test zusammengearbeitet hat, darauf hingewiesen, dass ungesicherte Daten im Internet aufgetaucht seien (siehe Faksimile).

Geantwortet hat nur das BIFIE: Das Schreiben habe „ein gewisses Staunen ausgelöst", schrieben die Direktoren. Sollte es der Firma aber nicht möglich sein, die „Verstöße zu präzisieren", werde das BIFIE gerichtlich gegen Zoe Solutions vorgehen. Noch eine harsche Bemerkung fand sich im Brief: „Im Übrigen ersuchen wir, zukünftig das unnötige Versenden von Kopien Ihrer Schreiben an die Frau Bundesminister [. . .] zu unterlassen."

BIFIE-Chef Martin Netzer bestätigte der „Presse" den Briefverkehr. Dass es das Datenleck tatsächlich gibt, sei ihm aber „nicht bewusst" gewesen. Man dachte, es handle sich nur um „die Drohgebärde eines in Unfrieden geschiedenen Vertragspartners". Nun wolle man das Leck so schnell wie möglich finden.
Das Ganze ist auch rechtlich interessant: „Das BIFIE hat eine Informationspflicht, wenn durch das Datenleck jemandem Schaden droht", sagt Datenschutzexperte Rainer Knyrim. Sollten die Daten von einem (Ex-)Mitarbeiter des BIFIE auf den Server gelegt worden sein, dann drohe dieser Person eine Freiheitsstrafe von bis zu einem Jahr. „Das ist kein Kavaliersdelik", so Knyrim.

Update: Am Dienstagabend zitierte die Unterrichtsministerin Gabriele Heinisch-Hosek die beiden BIFIE-Direktoren ins Ministerium. Nach dieser Krisensitzung forderte die Ministerin eine "lückenlose Aufklärung". Wenn Konsequenzen gezogen werde müssten, würden diese auch gezogen.

Lesen Sie mehr zu diesen Themen:

Mehr erfahren

Schule

Grüne pochen weiter auf PISA-Teilnahme

PISA werde in 74 Ländern durchgeführt, darunter Moldawien, Kasachstan und Kirgistan - und nirgendwo gebe es Probleme mit der Datensicherheit.
Schule

PISA-Stopp: Rückendeckung von Ex-BIFIE-Chef

Österreich hat es "sträflich verabsäumt", Konsequenzen aus den Tests zu ziehen, sagt Josef Lucysyhn. Er spricht sich für einen Abschied von PISA aus.
Gabriele Heinisch-Hosek
Schule

„Am Ende ist Zahltag“: Bildungsministerin lässt Zukunft des BIFIE offen

Die Zentralmatura findet heuer wie geplant statt. Bestehende Sicherheitsmängel wurden behoben. Die Neue Mittelschule wird erst in zwei Jahren wieder überprüft.
Zentralmatura findet wie geplant statt
Schule

Zentralmatura findet wie geplant statt

Beim Sicherheitscheck wurden zwar Mängel entdeckt, aber sofort behoben. Das BIFIE darf die Zentralmatura nun fix durchführen.
Schule

PISA: Ministerin schlägt Fristverlängerung aus

Die Sicherheitsprüfung nach dem Datenleck dauere bis Ende des Jahres. Die Vortests auf Oktober zu verschieben, bringe daher nichts.

Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.