[Österreich][Epicenter] Datenlücken im Corona-Test-System, die ignoriert werden
Wir hatten gehofft, dass damit die großen Sicherheitslücken im Zusammenhang mit Gesundheitsdaten so bald kein Thema wären, aber es kam anders. Die nächste Lücke ließ nicht lange auf sich warten,
diesmal bei oesterreich-testet.at. Ein Mitarbeiter einer Apotheke, die am Test-System und somit an der Dateneingabe teilnahm, entdeckte eine Sicherheitslücke und verhielt sich verantwortungsvoll, fair und vorbildlich. Im Sinne einer „responsible disclosure“ wandte er sich zunächst an die zuständigen Stellen und legte, sauber dokumentiert, die Lücke offen.
Eigentlich würde man dafür zumindest ein „Danke“ erwarten, aber die zuständigen Stellen ignorierten seine Information einfach. Daraufhin kontaktierte der Entwickler den ORF, der noch mal beim Ministerium anklopfte. Das Gesundheitsministerium bestritt gegenüber dem ORF, dass es sich um eine Sicherheitslücke handelt sondern sprach von einer „widerrechtlichen Verwendung“ durch eine einzelne Apotheke. Als Konsequenz wurde die Apotheke vom Test-System oesterreich-testet.at ausgeschlossen und der Entwickler verlor seinen Job.
Das bittere an dieser Geschichte ist, dass es sich um eine massive Datenschutz-Lücke handelte. Man konnte die Daten aller in Österreich durchgeführten Tests der letzten 7 Tage einsehen. Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potenziell hunderttausenden Personen hätten abgerufen werden können. Gemeinsam mit ORF konkret (→ YoutubeVideoLink) haben wir diesen Fall recherchiert, um dieses merkwürdige Verhalten der zuständigen Stellen der Öffentlichkeit zu erklären. Gesundheitsminister Mückstein betont gerne den hohen Stellenwert des Datenschutzes in der Pandemie. Mit diesem neuen Fall hat er nun nochmal die Chance, diesem Anspruch auch selbst gerecht zu werden und für Aufklärung in seinem Ministerium zu sorgen.
No comments yet.