Schülerdaten: „Kein Datenleck, sondern gezielter Angriff“
„Das war kein Datenleck, sondern ein von langer Hand geplanter gezielter Angriff.“ Das ist das Ergebnis der ersten Analysen der Kapsch BusinessCom in der Causa um die Schülerdaten des Bundesinstituts für Bildungsforschung (BIFIE). Laut Kapsch-BusinessCom-Geschäftsführer Franz Semmernegg müsse über einen Insider eine Schadsoftware eingespielt worden sein, hieß es heute gegenüber der APA.
Die Kapsch-Tochter betreute für das BIFIE die Applikation jener Tests, deren Ergebnisse öffentlich zugänglich waren. „Der Server und die Daten waren gesichert, der Folder mit den betroffenen Daten Passwort-geschützt und der Prototyp der Applikation, ebenfalls auf dem Server, war nur einem beschränkten Personenkreis zugänglich“, betonte Semmernegg. Über einen Schadcode seien die Schutzmechanismen ausgehebelt und das gesicherte Verzeichnis mit den Daten der Informellen Kompetenzmessung (IKM) zugänglich gemacht worden.
Offenbar kein Hacker
„Derjenige, der die Schadsoftware eingespielt hat, hatte auch einen Schlüssel - das muss aber nicht jemand sein, der ihn auch legal hatte, es kann auch jemand sein, der ihn sich über einen legalen Besitzer nachgemacht hat“, so Semmernegg. Ein Hacker sei offenbar nicht am Werk gewesen, meinte Semmernegg: „Hacking wäre es, wenn jemand die Tür aufgebrochen hätte. Und Nachlässigkeit, wenn die Tür keine Schlösser gehabt hätte oder nicht gescheit versperrt gewesen wäre. Die Tür hatte aber versperrte Sicherheitsschlösser.“ Die IT-Security-Spezialisten des Unternehmens hätten die Schadsoftware erst nach 1,5 Tagen Suche gefunden.
Daten „nicht auf Straße gelegen“
Das Verzeichnis tatsächlich einsehen konnte laut Semmernegg nur jemand, der den genauen URL und die Verzeichnisstruktur des Servers gekannt habe - bzw. beim Wohnungsvergleich genau gewusst habe, wo Fenster und Kasten stünden. „Man kann das nicht einfach googeln.“ Die Daten seien „nicht auf der Straße gelegen“.
Auf einem Webserver in Rumänien waren vertrauliche Daten aus der Informellen Kompetenzmessung (IKM) aufgetaucht, bei der sich Schüler der 3. Klasse Volksschule bzw. 2. und 3. Klasse Hauptschule/NMS/AHS auf die Bildungsstandardtests vorbereiten können. Dabei sollen 400.000 Testergebnisse aus den Jahren 2011 und 2012 sowie die Mail-Adressen von 37.000 Lehrern öffentlich zugänglich gewesen sein. Die Testergebnisse können zwar keinen Schülern zugeordnet werden, deren Abschneiden aber einem bestimmten Lehrer bzw. einer bestimmten Schule.