Datenleck Gesundheitsdaten Österreich testet |

CORONA-IMPFUNG: DIE GROSSE AUTOPSIE 2

5. Dezember 2021

Skandal in Wiener Spital: Dame mit gebrochenem Finger wurde Behandlung verweigert

19. Januar 2022

Unsauberer Zugriff auf Apotheken-Testdaten

Ein IT-Experte und die Datenschutz-NGO epicenter.works sehen erhebliche Mängel bei „Österreich testet“: Über das System, das den Apotheken zum Eintragen der Tests dient, sollen monatelang nicht nur Ergebnisse der eigenen Kunden, sondern sämtliche österreichische Testergebnisse und zugehörige persönliche Daten abrufbar gewesen sein. Das Ministerium weist Kritik zurück, der Experte verlor seinen Job.

Der Entdecker der Schwachstelle wollte eigentlich für eine Apotheke ein einfacheres Eingabesystem für Tests programmieren. Gegenüber dem Konsumentenschutzmagazin „konkret“ sagte der Programmierer, dass ihm dabei aufgefallen sei, dass mit einer kleinen Änderung nicht nur – wie vorgesehen – die Tests der eigenen Filiale, sondern sämtliche Tests der vergangenen sieben Tage in Österreich abrufbar gewesen seien.

Laut epicenter.works gehe es um Millionen Datensätze: Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und CoV-Testergebnis konnten über das System abgerufen werden. Auf dieses haben Apotheken aus dem ganzen Land Zugriff – und damit mehrere tausend Menschen.

Apotheke von Ministerium blockiert

Der Entwickler meldete die Schwachstelle dem Gesundheitsministerium und teilte diese auch dem ORF mit. Das Ministerium reagierte laut dem Entwickler erst nicht – nur auf Nachfrage von „konkret“ kam eine Reaktion: Die Apotheke wurde aus dem System von „Österreich testet“ verbannt, der Entwickler gesperrt – die Apotheke beendete daraufhin die Zusammenarbeit mit ihm.

Ministerium sieht keine Sicherheitslücke

Das Ministerium weist sämtliche Kritik zurück: „Die Einhaltung aller datenschutzrechtlichen Verpflichtungen“ sei „ein besonderes Anliegen“. Auf Anfrage von „konkret“ sieht man kein Sicherheitsproblem: Es handle sich „weder um einen Fehler im System von ‚Österreich testet‘ noch um eine ‚Datensicherheitslücke‘“, heißt es.

Stattdessen sieht man eine „eine widerrechtliche Verwendung interner Dokumentationssysteme“. Die Apotheken seien der „alleinige Datenschutzverantwortliche“ im Rahmen der Testungen, daher sei die Zuständigkeit des Ministeriums „nicht gegeben“.

Gleichzeitig räumte das Ministerium von Wolfgang Mückstein (Grüne) aber auch ein, dass in den vergangenen Wochen „entsprechende Anpassungen vorgenommen“ wurden, „um die internen Dokumentationssysteme noch besser gegen eine etwaige widerrechtliche Verwendung einzelner Teststellen zu schützen“. Unklar ist, ob es einen widerrechtlichen Zugriff auf die Daten gab.

Kritik von epicenter.works

Thomas Lohninger, Geschäftsführer der Datenschutz-NGO epicenter.works, kritisierte das Vorgehen des Ministeriums. Der Entwickler habe sich „absolut richtig“ verhalten – statt Dankbarkeit habe die Reaktion des Ministeriums dazu geführt, dass der Mann seinen Job verloren habe. Er forderte eine Entschuldigung Mücksteins bei dem Mann – und eine Erhöhung der IT-Kompetenz in dem Ministerium.

Das „Österreich testet“-Portal wird von der A1-Tochter World Direct im Auftrag des Ministeriums betrieben. Die Erstellung des Portals kostet rund eine halbe Million Euro, fast 200.000 Euro pro Monat kostet der laufende Betrieb, hieß es vor rund einem Jahr in einer parlamentarischen Anfragebeantwortung.

A1 sieht Apotheke in der Pflicht

A1 verwies auf Anfrage von „konkret“ auf das Ministerium – man habe aber „bereits im Dezember das Portal eingehend überprüft“. Die Apotheke müsse selbst dafür sorgen, „dass von ihr als Teil des Systems keine Manipulationsversuche unternommen werden“, heißt es von dem Unternehmen. Auf eine Anfrage von ORF.at bei der Datenschutzbehörde hieß es, dass bereits mehrere Verfahren im Zusammenhang mit „Österreich testet“ laufen – zum konkreten Fall konnte man keine Angaben machen.

Quelle: https://oesterreich.orf.at

Massive Sicherheitslücke in oesterreich-testet.at aufgedeckt. Gesundheitsministerium attackiert Sicherheitsforscher.

In einer gemeinsamen Recherche decken ORF konkret und die Datenschutz NGO epicenter.works heute massive IT-Sicherheitslücken in der Website des Gesundheitsministerium zur Organisation von Covid-19 Tests auf. Dabei handelt es sich um die trivialste aller Sicherheitslücken, eine zugriffsberechtigte Apotheke hat nicht nur die Möglichkeit die personenbezogenen Daten der Tests abzurufen, die sie selbst durchgeführt hat, sondern kann auch auf die Daten aller Tests der letzten 7 Tage in ganz Österreich zugreifen. Über diese Lücke ist es möglich Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potentiell hundertausenden Personen in ganz Österreich abzurufen.

Der Webentwickler Gökhan S. hat die Sicherheitslücke entdeckt, als er einen Programmierauftrag für eine Apotheke erledigte, die über oesterreich-testet.at Covid-19 Tests anbietet. Er hat die Sicherheitslücke dokumentiert und sich mit der Bitte um dringende Reparatur an das Gesundheitsministerium und den ORF gewandt. Das Ministerium hat Herrn S. zuerst ignoriert. Erst als der ORF in der Sache beim Ministerium nachfragte, gab es eine Reaktion. Die Apotheke wurde von oesterreich-testet.at ausgeschlossen und in der Folge beendete die Apotheke das Arbeitsverhältnis mit Herrn S.. Das Gesundheitsministerium hat in seiner Stellungnahme gegenüber dem ORF abgestritten, dass es sich um eine Sicherheitslücke handelt und sprach von einer "widerrechtlichen Verwendung interner Dokumentationssysteme einer einzelnen Apotheken (sic!)".¹ In der selben Reaktion des Ministeriums wurde jedoch auch behauptet, man habe die Sicherheitslücke geschlossen: "In den vergangenen Wochen wurden entsprechende Anpassungen vorgenommen, um die internen Dokumentationssysteme noch besser gegen eine etwaige widerrechtliche Verwendung einzelner Teststellen zu schützen". Über andere Kanäle konnte epicenter.works das Beheben des Problems im Vorfeld dieser Veröffentlichung ebenfalls bestätigen.

"oesterreich-testet.at funktionierte so wie ein Bankomat, bei dem man zwar eine Bankomatkarte und einen PIN Code braucht, aber dann Geld von beliebigen Konten abheben könnte. Die Erklärung des Ministeriums ist in dem Beispiel so zu verstehen, als ob man auf die Kameras des Bankomaten und bestehende Gesetze verweist, die Missbrauch hätten verhindern können. Ich verstehe nicht, wie eine so triviale Sicherheitslücke so lange niemandem aufgefallen ist", so Thomas Lohninger Geschäftsführer von epicenter.works.

Statt Dank hagelte es Angriffe

Kein IT-System ist perfekt und es gibt immer die Gefahr von Sicherheitslücken. Aus diesem Grund gibt es das etablierte Prinzip von "responisble disclosure", nach dem gefundene Sicherheitslücken den Verantwortlichen gemeldet werden, die dankbar für diese Hilfestellung zur Verbesserung ihres Systems sein sollten. Erst nachdem die Lücke geschlossen ist, sollten Informationen darüber an die Öffentlichkeit gelangen. Das Wissen um Sicherheitslücken ist viel Geld wert. Neben dem Ausnutzen der Lücke für Identitätsdiebstahl, Datenhandel oder Erpressung, kann auch das Wissen um die Sicherheitslücke selbst verkauft werden. Herr S. hat sich in dieser Situation absolut richtig verhalten, indem er den Verantwortlichen sofort Bescheid gegeben hat. Anstatt sich dafür zu bedanken, hat das Gesundheitsministerium dafür gesorgt, dass er seinen Job verliert.

"Gesundheitsminister Mückstein sollte sich bei Herrn Gökhan S. entschuldigen und schleunigst die IT-Kompetenz in seinem Haus steigern, bevor das Vertrauen der Bevölkerung restlos verloren geht", so Lohninger.

Teuerster Anfängerfehler auf Steuerkosten

Die Website oesterreich-testet.at wird von World Direct, einer 100%igen Tochter von A1, betrieben. Die Erstellung dieses Buchungssystems für Covid-19 Tests kostete eine halbe Million Euro und ihren Betrieb lässt sich das Gesundheitsministerium stolze 187.000 Euro pro Monat kosten . Angesichts dieses lukrativen Staatsauftrags, erscheint es nicht nachvollziehbar, wieso das System von A1 keiner Sicherheitsüberprüfung (Penetrationstest) unterzogen wurde. Da oesterreich-testet.at die sensiblen Gesundheitsdaten von Millionen Menschen verarbeitet, wäre laut DSGVO auch eine Datenschutzfolgeabschätzung zwingend vorgeschrieben gewesen. Auch in diesem Schritt einer systematischen Risikobewertung hätte der Fehler sofort auffallen müssen.

Erst kürzlich hat Gesundheitsminister Mückstein, nachdem wir mit "der Standard" den EMS Datenskandal aufgedeckt haben, die Bedeutung des Datenschutzes in der Pandemie hervorgehoben. Weder wurde die von uns damals aufgedeckte Lücke bisher geschlossen, noch kam es zu einer Überprüfung, ob durch das EMS Daten abgeflossen oder manipuliert wurden. Mit diesem neuen Skandal bekommt Gesundheitsminister Mückstein neuerlich die Chance für Aufklärung zu sorgen. Bei oesterreich-testet.at gibt es - anders als beim EMS - zwar keine gesetzlich vorgeschriebenen Zugriffsprotokolle, trotzdem sollte nun alles an eine transparente Aufklärung gesetzt werden.

Quelle:

https://epicenter.works/

News Team

Schreibe einen Kommentar Antworten abbrechen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.