Sicherheitslücke bei "Österreich testet": Millionen Datensätze waren einsehbar

Bei "Österreich testet", der Website des Gesundheitsministeriums zur Organisation von Covid-19 Tests, soll es eine massive Sicherheitslücke gegeben haben.

Einer gemeinsamen Recherche der Datenschutz-NGO "epicenter.works" und "ORF konkret" zufolge hat dadurch eine Apotheke nicht bloß auf die von ihr durchgeführten Tests Zugriff gehabt, sondern auf die gesamten Daten aller Tests der vergangenen sieben Tage.

Daten Hundertausender Personen

Es sei möglich gewesen, Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potenziell Hunderttausenden Personen in ganz Österreich abzurufen. Laut Thomas Lohninger, Geschäftsführer von "epicenter.works", handelte es sich dabei um mehrere Millionen Datensätze.

Webentwickler schlug Alarm und wurde gefeuert

Entdeckt wurde die Sicherheitslücke von einem von besagter Apotheke beauftragten Webentwickler, der diese sogleich dokumentierte und sich mit der Bitte um dringende Reparatur an das Gesundheitsministerium und den ORF gewandt habe. Den Datenschützern zufolge ist der Programmierer zunächst ignoriert worden, erst als der ORF anfragte, habe es eine Reaktion gegeben. Und zwar sei die Apotheke von "oesterreich-testet.at" ausgeschlossen worden, woraufhin diese das Arbeitsverhältnis mit dem Webentwickler beendete.

Gesundheitsministerium: Nicht zuständig

Das Gesundheitsministerium stritt gegenüber "epicenter.works" und der APA ab, dass es sich um eine Sicherheitslücke handelte und sprach von einer "widerrechtlichen Verwendung interner Dokumentationssysteme" einer einzelnen Apotheke. Die Apotheken seien im Rahmen der Testungen "alleinige Datenschutzverantwortliche", eine Zuständigkeit des Gesundheitsministeriums sei nicht gegeben. Zudem merkte das Ministerium an, dass Apotheken wie niedergelassene Ärzte "einer gesetzlichen Sorgfaltspflicht sowie einem Berufsgeheimnis unterliegen".

Fehler behoben

Man habe gemeinsam mit der Apothekerkammer das interne System einzelner Apotheken optimiert und den angesprochenen Fehler behoben, hieß es: "In den vergangenen Wochen wurden entsprechende Anpassungen vorgenommen, um die internen Dokumentationssysteme noch besser gegen eine etwaige widerrechtliche Verwendung einzelner Teststellen zu schützen."

Lohninger: Ministerium sollte Webentwickler dankbar sein

Lohninger kritisierte die Vorgehensweise scharf. Statt dem Entdecker der Sicherheitslücke dankbar zu sein, habe das Gesundheitsministerium dafür gesorgt, dass er seinen Job verliert. Dabei habe sich der Webentwickler "absolut richtig" verhalten. Er habe die Sicherheitslücke dokumentiert und den Verantwortlichen Bescheid gegeben, obwohl das Wissen um diese viel Geld hätte wert sein können. Neben dem Ausnutzen der Lücke für Identitätsdiebstahl, Datenhandel oder Erpressung hätte auch das Wissen um die Sicherheitslücke selbst verkauft werden können.

Website-Erstellung kostete 500.000 Euro

Gesundheitsminister Wolfgang Mückstein (Grüne) sollte sich bei dem Programmierer entschuldigen und "schleunigst" die IT-Kompetenz in seinem Haus steigern, verlangte Lohninger. Die Website wird von World Direct, einer 100-prozentigen Tochter von A1, betrieben. Die Erstellung dieses Buchungssystems für Covid-19 Tests kostete eine halbe Million Euro und ihren Betrieb lässt sich das Gesundheitsministerium stolze 187.000 Euro pro Monat kosten, wie aus einer parlamentarischen Anfragebeantwortung von Ex-Gesundheitsminister Rudolf Anschober (Grüne) an die NEOS vor rund einem Jahr hervorgeht. Angesichts dieses lukrativen Staatsauftrags, erscheint es nicht nachvollziehbar, wieso das System von A1 keiner Sicherheitsüberprüfung (Penetrationstest) unterzogen wurde, so Lohninger.

Für die NEOS kritisierte Digitalisierungssprecher Douglas Hoyos, dass man bereits seit mehr als einem Jahr auf diese Probleme aufmerksam mache. "Trotzdem schafft es die Regierung nicht und nicht, ihre Hausaufgaben zu machen und dafür zu sorgen, dass unsere Daten sicher sind", so Hoyos. Mückstein und Digitalisierungsministerin Margarete Schramböck (ÖVP) müssten dies abstellen.

ribbon Zusammenfassung
  • Bei "Österreich testet", der Website des Gesundheitsministeriums zur Organisation von Covid-19 Tests, soll es eine massive Sicherheitslücke gegeben haben.
  • Eine Apotheke hatte nicht bloß auf die von ihr durchgeführten Tests Zugriff, sondern auf die gesamten Daten aller Tests der vergangenen sieben Tage.
  • Es sei möglich gewesen, Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potenziell Hunderttausenden Personen in ganz Österreich abzurufen.
  • Entdeckt wurde die Sicherheitslücke von einem von besagter Apotheke beauftragten Webentwickler, der diese sogleich dokumentierte und sich mit der Bitte um dringende Reparatur an das Gesundheitsministerium und den ORF gewandt habe.
  • Erst soll er ignoriert worden sein, auf ORF-Nachfrage kündigte das Gesundheitsministerium die Zusammenarbeit mit der Apotheke, diese beendete die Kooperation mit dem Webentwickler.
  • Das Gesundheitsministerium stritt ab, dass es sich um eine Sicherheitslücke handelte und sprach von einer "widerrechtlichen Verwendung interner Dokumentationssysteme" einer einzelnen Apotheke. Der Fehler sei behoben worden.