Ohne das Epidemiologische Meldesystem (EMS) wäre die Pandemie nicht zu bewältigen. Das zentrale Register für ansteckende Krankheiten erlaubt Eintragungen von Corona-Infektionen. Das ist für die Statistik, das Contact-Tracing und die Erstellung von Genesungszertifikaten unverzichtbar. Doch monatelang wies das System erhebliche Sicherheitsmängel auf, wie Recherchen des STANDARD in Zusammenarbeit mit der Datenschutz-NGO Epicenter Works belegen.

Dadurch war ein Zugriff auf Daten aller Bürgerinnen und Bürger durch Dritte möglich sowie die Eintragung fingierter Laborergebnisse. Die Impfpflicht hätte sich potenziell umgehen lassen.

PCR-Tests auswerten

Der Auslöser: das bereits früher in die Kritik geratene Labor HG Lab Truck. Es hatte von September 2020 bis Juli 2021 den Auftrag, PCR-Tests für das Land Tirol auszuwerten. Dafür erhielt es einen Zugang zum EMS. Der Zugriff der Labore ist generell nicht auf den jeweiligen Nutzer oder die jeweilige Nutzerin personalisiert, sondern auf eine einzelne verantwortliche Person.

Im Fall der HG Lab Truck war das deren ehemaliger Geschäftsführer Ralf Herwig, der sich aber offiziell am 5. Mai 2021 aus dem Unternehmen zurückgezogen hatte. Trotzdem war sein EMS-Zugang bis 14. Dezember 2021 offen.

Subunternehmen

Die HG Lab Truck hat diesen EMS-Zugang nicht nur selbst verwendet, sondern die Eintragung von Daten an ein steirisches Subunternehmen ausgelagert. Dieses bestätigt wiederum auf Anfrage, die Tätigkeit an eine weitere Wiener Firma ausgelagert zu haben. Dieser Zugang zum sensiblen Corona-Register wurde via unverschlüsselte E-Mail an verschiedene Mitarbeiter verschickt. Zudem wurden auf diese Weise auch Excel-Dateien mit persönlichen Daten von Covid-Infizierten verschickt, die Mitarbeiter über ihre Privatrechner ins EMS eintragen sollten.

Der Zugang des Labors erlaubte es, von jedem beliebigen Gerät im ganzen Land aus Krankheiten für alle Personen mit österreichischer Staatsbürgerschaft einzutragen. Nicht nur Corona-Infektionen, auch Aids, Syphilis, Malaria oder andere anzeigepflichtige Erkrankungen konnten eingetragen werden. Zudem konnten Namen und Adressen abgefragt werden, auch wenn die Betroffenen ihren Wohnort im Zentralen Melderegister (ZMR) sperren ließen. Weiters war es möglich, abzufragen, ob man in den letzten Wochen an Corona erkrankt ist. War das der Fall, konnte die E-Mail-Adresse oder die Handynummer eingesehen werden.

Kein EMS – oder doch?

Das Gesundheitsministerium betont auf Anfrage, dass der Zugriff im EMS für Labore kein "Zugang zum EMS" sei. Eher handle es sich um eine Seite, um Labormeldungen abzurufen. Bei der Plattform, die der STANDARD einsehen konnte, steht allerdings "EMS" im Namen der Website, auch das technische Client-Zertifikat, das den Zugriff erlaubt, trägt den Namen "EMS Labor".

"In allen fünf Dokumentationen dieser Schnittstelle, die uns vorliegen, wird klar von einer Laborschnittstelle ins EMS gesprochen", sagt Thomas Lohninger von Epicenter Works. "Auch die Gesundheit Österreich GmbH spricht davon, dass elektronische Meldungen der Labore im EMS landen." Anders als beim Zugriff der Behörden lassen sich Eintragungen nicht weiter bearbeiten.

Zugang entzogen

Der HG Lab Truck wurde der Zugang nach dem Hinweis des STANDARD vom Gesundheitsministerium entzogen. Dieses beschwichtigt: Derartige Eintragungen hätten "nicht sofort ein Genesungszertifikat" zur Folge. Das Laborergebnis müsse von einer Bezirksverwaltungsbehörde freigegeben werden. Ein Mitarbeiter einer solchen Behörde, der anonym bleiben möchte, sieht allerdings das Missbrauchspotenzial nicht abgewendet: Schließlich vertraue man den Eintragungen der Labore, eine Prüfung sei allein aufgrund der schieren Zahl der Ergebnisse nicht möglich, sagt er.

Ein Beispiel: Entscheidet sich jemand mit Laborzugriff dazu, eine fingierte positive Corona-Infektion einzutragen, wäre das in Absprache mit der jeweils betroffenen Person möglich. "Wenn man gut fälscht, kommt niemand drauf", sagt der Mitarbeiter. Dadurch ließe sich potenziell die Impfpflicht umgehen, denn diese sieht vor, dass Personen, die genesen sind, für 180 Tage nach ihrer Erkrankung von der Impfung befreit sind. Diese Problematik besteht nicht nur im Fall des Zugangs der HG Lab Truck, sondern überhaupt bei allen Laborzugängen.

Labor zugewiesen

Die Zertifikate, die einen Einstieg erlauben, sind nämlich nicht personalisiert, sondern werden lediglich dem Labor zugewiesen. Somit wäre es nicht möglich, einen Missbrauch auf eine Person zurückzuführen. "Gänzlich unklar ist, welche Prüfung es bei Meldungen anderer Krankheiten gibt", fügt Lohninger hinzu.

Aktuell sind 225 Zertifikate im Umlauf, heißt es aus dem Gesundheitsministerium. Von wie vielen IP-Adressen durch diese auf den Laborzugang im EMS zugegriffen wurde, gibt das Ministerium auf Nachfrage nicht bekannt. Insgesamt seien seit April 2021 9,3 Millionen Eintragungen durch Labore im EMS erfolgt. "Als Sofortmaßnahme muss der Zugriff auf jene IP-Adressen begrenzt werden, die zu dem jeweiligen Laborstandort gehören, damit nicht mehr von irgendwelchen Privatrechnern aus zugegriffen werden kann", fordert Lohninger.

Ministerium: Kein Datenleck

Von einem Datenleck geht das Ministerium nicht aus, eine Prüfung durch eine unabhängige Stelle wird nicht bestätigt, man habe "diese Thematik bereits diskutiert". "Bevor das Vertrauen in die Datenbasis der anzeigepflichtigen Krankheiten nicht wiederhergestellt ist, wird es aus unserer Sicht schwierig, anhand dieser Daten automatisierte Verwaltungsstrafen im Rahmen der Impfpflicht zu verhängen", kommentiert Lohninger.

Wer trägt nun die Verantwortung dafür, dass Ralf Herwig und HG Lab Truck Monate nach seinem offiziellen Abgang den Zugriff behalten durften? Aus Sicht des Gesundheitsministeriums "das Unternehmen selbst und die Bezirksverwaltungsbehörde".

Lohninger kritisiert: "Seit das Sozialministerium informiert wurde, hat man mehr Energie investiert, abzustreiten und Verantwortung abzuschieben als die Lücke zu schließen und den Skandal aufzuklären."

Widerspruch aus Tirol

In Tirol, wo der Zugang ausgestellt wurde, hüllte man sich hingegen zunächst in Schweigen. Angefangen von Landeshauptmann Günther Platter (ÖVP), der für den Datenschutz verantwortlich wäre, bis hin zu Ralf Herwig blieben sämtliche Anfragen bis Redaktionsschluss der Printausgabe unbeantwortet. Erst danach kam eine Reaktion – doch diese wirft nun neue Fragen auf, denn man widerspricht offenbar der Darstellung des Gesundheitsministeriums.

Laut Ministerium hätte der EMS-Zugang Herwigs und der HG Lab Truck am 6. Mai 2021 seine Gültigkeit verlieren und gesperrt werden müssen. Denn ab diesem Zeitpunkt habe die Firma Novatium übernommen. Novatium war nach bisherigen Darstellungen der Tiroler Behörden aber bloß eine Auffanggesellschaft für Personal und Gerätschaften der HG Lab Truck, die erst ab Juli 2021 auch Laboranalysen als Subunternehmer der Med-Uni Innsbruck in Tirol durchgeführt hat.

Wörtlich hieß es auf Nachfrage beim Ministerium nun aber, "dass nach Übernahme der HG Lab Truck durch Novatium [am 6. Mai 2021, Anm.], Letztere ein neues Zertifikat bei der zuständigen Bezirksverwaltungsbehörde beantragt und nach Prüfung dieses auch von der Bezirksverwaltungsbehörde ausgestellt bekommen hat". Im Innsbrucker Landhaus stellt man die Vorgänge anders dar: "Laut den dem Land Tirol zur Verfügung stehenden Informationen wurde ein solches Zertifikat vom Gesundheitsministerium ausgestellt."

Einig ist man sich darin, dass das Zertifikat der HG Lab Truck hätte gesperrt werden müssen. Auf die Frage, warum das nicht passiert ist, sagt das Land Tirol, das entsprechende Zertifikat habe mit der Auflösung des Vertrags mit der HG Lab Truck "seine Relevanz verloren". Und eine Nachschau im System habe ergeben, dass es zwischenzeitlich als gesperrt gilt. Was man in Tirol offenbar nicht weiß: Diese Sperre geht erst auf den Hinweis des STANDARD an das Ministerium zurück, bis 14. Dezember war es offen. (Muzayen Al-Youssef, Steffen Arora, 16.12.2021)