Der Verdacht auf Manipulation verhärte sich, sagt die verantwortliche Firma. Es sei ein "von langer Hand geplanter gezielter Angriff“ gewesen.
Die Firma Kapsch BusinessCom hat eine erste Erklärung, wie die Daten von 37.000 österreichischen Lehrern und hunderttausenden Schülern im Internet landen konnten: "Die Indizien zeigen deutlich in eine Richtung: Wir können gegenwärtig nicht mehr von einem Datenleck sprechen, sondern es ist ein von langer Hand geplanter gezielter Angriff auf den Server mit den BIFIE-Daten", sagt Franz Semmernegg, CEO der verantwortlichen Firma Kapsch BusinessCom nach einer ersten Analyse der Logfiles.
In den vergangenen Tagen wurde bekannt, dass die durchgesickerten Daten auf einem Server eines Kapsch-Partners in Rumänien gefunden worden sind. Kapsch wurde nämlich im Frühsommer 2013 vom Bundesinstitut für Bildungsforschung (BIFIE) beauftragt, die Softwareplattform zur Informellen Kompetenzmessung (IKM) zu entwickeln. Schon im Dezember wurde Kapsch BusinessCom vom BIFIE über ein mögliches Datenleck informiert. Man habe sofort eine Sicherheitsüberprüfung durchgeführt, sagt das Unternehmen.
Kapsch BusinessCom beschreibt die Manipulation der Serverschutzmechanismen nun so: "Man muss sich ein Haus vorstellen, das mit einem Sicherheitsschloss versperrt ist. Den Schlüssel dafür hatten nur bestimmte Personen. Die Türe des Hauses wurde mit einem regulären Schlüssel aufgesperrt, in einem bestimmten Zimmer ein Fenster gestemmt und gewisse Dokumente in die Auslage gestellt", sagt Franz Semmernegg zur DiePresse.com.
Derjenige, der die Schadsoftware eingespielt hat, hatte zwar einen Schlüssel - das muss aber nicht jemand sein, der ihn auch legal hatte, es kann auch jemand sein, der ihn sich über einen legalen Besitzer nachgemacht hat, erklärt der Geschäftsführer weiter. Ein Hacker sei offenbar nicht am Werk gewesen, meinte Semmernegg: "Hacking wäre es, wenn jemand die Tür aufgebrochen hätte. Und Nachlässigkeit, wenn die Tür keine Schlösser gehabt hätte oder nicht gescheit versperrt gewesen wäre. Die Tür hatte aber versperrte Sicherheitsschlösser." Die IT-Security-Spezialisten des Unternehmens hätten die Schadsoftware erst nach 1,5 Tagen Suche gefunden.
Wahrheit soll ans Tageslicht kommen
Einsehbar seien die Daten nur von jenen Personen gewesen, die die genaue URL und Verzeichnisstruktur des Servers kannte. „Damit verhärtet sich eindeutig der Verdacht auf eine Manipulation, um bewusst Schaden anzurichten", so Semmernegg.
Wer für die Manipulation verantwortlich sei, könne man derzeit noch nicht sagen. Das sei die Aufgabe des Bundeskriminalamts, erklärt Semmernegg. Er wolle jedenfalls nicht mehr Informationen an die Öffentlichkeit bringen. "Das könnte die laufenden Ermittlungen gefährden", so Semmernegg. „Dies müssen wir und die Öffentlichkeit respektieren, weil unser Ziel ist es, diese Sache lückenlos aufzuklären und die Wahrheit ans Licht zu bringen."
Wien kündigt Zusammenarbeit mit BIFIE
In der Schulpolitik hat das Datenleck inzwischen bereits zu Konsequenzen geführt: Unterrichtsministerin Gabriele Heinisch-Hosek (SPÖ) kündigte an, alle zentralen Schülertests vorerst auf Eis zu legen, bis die Sache restlos aufgeklärt und Datensicherheit gewährleistet sei. Der Wiener Stadtschulrat hat wiederum die Zusammenarbeit mit dem BIFIE beim Wiener Lesetest aufgekündigt.
(j.n./mare)