Wien - Angesichts des "größten Datenskandals der österreichischen Schulgeschichte" forderten die Lehrergewerkschaften am Mittwoch den vorläufigen Stopp aller zentralen personenbezogenen Datenerhebungen für Pisa-Studie, Bildungsstandards und Zentralmatura. "Bevor das nicht vollständig aufgeklärt ist, haben diese Dinge zu unterbleiben, sagte Paul Kimberger zur APA.

Am späten Nachmittag bekamen die Lehrer recht, denn laut Presse stoppt Unterrichtsministerin Gabriele Heinisch-Hosek (SPÖ) alle zentralen Schultests bis zur Klärung des Bifie-Datenlecks.

Grund für Empörung der Lehrer ist das von der Presse aufgedeckte Datenleck im Bundesinstitut für Bildungsforschung (Bifie). Die Daten der "Informellen Kompetenzmessung" (IKM) von 2011 und 2012, mit der sich die Schulen auf die Bildungsstandarderhebung vorbereiten konnten, sowie die E-Mail-Adressen von 37.000 Lehrern sollen auf einem rumänischen Server unverschlüsselt aufgetaucht und damit prinzipiell zugänglich für Internetnutzer sein. Heinisch-Hosek bestätigte am Mittwoch im Bundesrat, dass sie schon im Dezember Hinweise auf das Datenleck bekommen hatte. Das Ministerium habe die Information an das Bifie weitergeleitet und gedacht, dass das erledigt worden sei. Deshalb sei sie gestern selbst "aus allen Wolken gefallen".

Leck bei Subunternehmer

Entstanden ist das Datenleck laut "Presse" (Donnerstag-Ausgabe) bei einem Subunternehmer, den eine rumänische Kapsch-Tochter beauftragte. Auf dessen Server tauchten die Daten im Dezember unverschlüsselt auf. Das Bifie hatte im Frühjahr 2013 die österreichische Kapsch BusinessCom AG mit der Neuentwicklung der Tests beauftragt. "Derzeit prüfen wir, wie es dazu kommen konnte, ob es Nachlässigkeit unseres langjährigen Partners war oder ob der Server gehackt wurde", erklärt Franz Semmernegg von Kapsch BusinessCom der "Presse".

"Drohgebärde"

"Aufgetaucht" ist das Datenleck, weil die "zoe solutions GmbH", die vom Bifie (zuständig war der Standort Wien) eigentlich dafür bezahlt wurde, dass sie genau diese IKM-Daten ordentlich betreut und sicher speichert, das Bifie im Dezember 2013 per E-Mail über das Leck informierte. Man habe das für eine "Drohgebärde eines in Unfrieden geschiedenen Vertragspartners" gehalten und umgehend Anzeige erstattet, hieß es im Bifie, das sich während des laufenden Verfahrens nicht mehr dazu äußern will.

Mit den Vorgängen Vertraute ohne Eigeninteressen in der Causa vertreten im vertraulichen STANDARD-Gespräch ebenfalls die "Racheakt"-These: "Die IKM-Daten sind drei Jahre alt, weitgehend wertlos und hätten gelöscht gehört. Wem könnte man damit schaden? Eigentlich nur dem Bifie. Wer hätte Interesse, das Bifie zu schädigen? Nur jemand mit Zugriff auf diese Daten." Den hatten nur Bifie und zoe solutions.

Dort gingen am Mittwoch ein Dutzend STANDARD-Anrufe ins Leere, am Nachmittag wurde eine "Stellungnahme" versprochen. Die junge, im Sommer 2010 gegründete Firma in Klagenfurt mit Büros in Südafrika und Mexiko verzeichnete 2012 laut Firmenbuch zwei Mitarbeiter und bei 53.176,50 Euro Bilanzsumme 12.872,85 Euro Verlust. Als Referenzen finden sich auf der Homepage neben Bifie auch die Uni Klagenfurt, Fachhochschule Kärnten und "Raiffeisen Banking Group".

"Verblüfft"

Dass ein Forschungsinstitut wie das Bifie auf externe Datenverwaltung setzt, irritiert manche. "Ich war eher verblüfft, dass das ausgelagert ist, weil das sensible Daten sind", sagt etwa Erich Neuwirth, der an der Uni Wien Statistik und Informatik lehrte, im STANDARD-Gespräch: "Die Gefahr erhöht sich einfach, wenn Externe mit der Verwaltung sensibler Daten betraut werden. Das Bifie mit rund 100 Mitarbeitern kann sich schon eine hausinterne IT leisten." Neuwirth, der Zugang zu Bifie-Daten für unabhängige Forscher und Unis gefordert hat, wundert sich nun über die Kluft zwischen den Geheimhaltungsansprüchen des Bifie gegenüber den Unis und den nun ruchbar gewordenen "größeren Schwachstellen bei der logistischen Verwaltung der Daten".

Laut STANDARD-Informationen waren alle anderen Unterlagen und Daten für Pisa, Zentralmatura und Bildungsstandards nie bei zoe solutions gespeichert, sondern "in einer Hochsicherheitsumgebung" bei einem der größten Rechenzentren in Österreich - "mit professionellen Sicherheitsmaßnahmen". (Lisa Nimmervoll, DER STANDARD, 27.2.2014)