Wenige Wochen ist es erst her, da haben STANDARD-Recherchen ein schweres Sicherheitsdefizit im zentralen Corona-Register offengelegt. Nun folgt der nächste Vorfall rund um die österreichische Covid-19-Test-Infrastruktur, und einmal mehr wäre darüber ein Zugriff auf hochsensible Daten von hunderttausenden Personen möglich gewesen – zumindest theoretisch.

Keine Beschränkungen

Über die vom Gesundheitsministerium verantwortete Plattform "Österreich testet" konnten sämtliche teilnehmenden Apotheken theoretisch auf alle Testdaten der vergangenen sieben Tage zugreifen – und zwar österreichweit. Darin enthalten sind Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail-Adresse und Covid-Status all jener, die sich in dem Zeitraum über die Plattform haben testen lassen. Mit diesen Daten hätte sich dann allerlei Schaden erzeugen lassen – bis hin zum Identititätsdiebstahl, warnt die Datenschutz-NGO Epicenter Works, die den Vorfall gemeinsam mit ORF-"Konkret" aufgedeckt hat.

Zweifelhafter Ablauf

Für einige Aufregung sorgt aber auch der Umgang des Gesundheitsministeriums mit dem Vorfall. Entdeckt wurde die Sicherheitslücke nämlich von einem Webentwickler im Rahmen eines Programmierauftrags für eine der am Testprogramm teilnehmenden Apotheken. Dieser wandte sich umgehend sowohl an das Gesundheitsministerium als auch an den ORF. Anstatt die akuten Defizite auszuräumen, wählte man im Ministerium offenbar einen anderen Weg: Die betreffende Apotheke wurde schlicht von "Österreich testet" ausgeschlossen, worauf diese wiederum mit einer Beendigung des Arbeitsverhältnisses des betreffenden Entwicklers reagierte.

Eine andere Reaktion habe es erst gegeben, nachdem sich der ORF eingeschaltet habe. In einer Stellungnahme betonte das Ministerium zwar weiterhin die eigene Sichtweise, dass nicht die Software das Problem sei, sondern eine "widerrechtliche Verwendung interner Dokumentationssysteme durch eine einzelne Apotheke". Gleichzeitig sprach man aber von "Anpassungen" an der eigenen Software, die solch einen Zugriff unterbinden solle. Das Sicherheitsdefizit wurde also dann doch noch bereinigt, auch wenn man es nicht so bezeichnen wollte.

Kein Datenabfluss

Weitere Details gibt es auf Nachfrage des STANDARD dann von der A1-Tochter World Direct, die die Software für die Plattform "Österreich testet" entwickelt. Im konkreten Fall sei es so gewesen, dass Apotheken-Mitarbeiter über eine simple Manipulation einer Web-Adresse (URL) auf andere Testzertifikate hätten zugreifen können. Dieses Defizit habe man direkt nach der ersten Information durch den Entwickler und den ORF noch im Dezember behoben.

Darüber hinaus betont das Unternehmen aber noch zwei weitere Punkte: Solch ein Fehler sei zwar fraglos unerfreulich, für ein massenhaftes Abgreifen aber kaum geeignet. Zumal dieser Zugriff generell nur für Apotheken möglich, also nicht öffentlich verfügbar sei. Vor allem aber wisse man aus den Zugriffsprotokollen, dass keinerlei Datenabfluss auf diesem Weg stattgefunden hat – abgesehen von den Tests jenes Softwareentwicklers, der das Sicherheitsdefizit aufgespürt hat.

Kompetenzen

Bei Epicenter Works nutzt man den Vorfall trotzdem, um gleich eine weitere Forderung zu stellen: nämlich dass die IT-Kompetenzen für diese Systeme "schleunigst" ins Ministerium verlagert werden. Bisher kassiere World Direct nämlich monatlich 187.000 Euro für den Betrieb. Dies noch zusätzlich zu den Erstentwicklungskosten in der Höhe einer halben Million Euro, wie aus einer parlamentarischen Anfragebeantwortung des damaligen Gesundheitsministers Rudolf Anschober (Grüne) an Neos im Vorjahr bekannt wurde. Wenn man schon so viel Geld investiere, sei es unverständlich, dass die Systeme dann nicht wenigstens einer umfassenden Sicherheitsprüfung unterzogen würden, wie es beim Umgang mit dermaßen sensiblen Daten unerlässlich sei, so Lohninger.

Von Gesundheitsminister Wolfgang Mückstein (Grüne) fordern die Datenschützer zusätzlich eine transparente Aufklärung des aktuellen Vorfalls sowie eine Entschuldigung bei jenem Softwareentwickler, der die Lücke gemeldet und als "Dank" dafür seinen Job verloren habe. (Andreas Proschofsky, 13.1.2022)