Welche Technik hinter dem Epidemiologischen Meldesystem steckt
Im Epidemiologischen Meldesystem (EMS) werden seit Anbeginn der Pandemie die Daten über Corona-Erkrankungen und positiven Fälle zusammengeführt. Auf dieser Datenbasis der täglichen Neuinfektionen werden Prognosen zur aktuellen Lage erstellt. Doch das EMS war in den letzten drei Jahren immer wieder ein Fall für negative Schlagzeilen, weil es „technische Probleme“ gegeben hat.
Am 11. November 2021 berichtete orf.at „ IT-Problem verursacht CoV-Rekordwerte“, denn es hatte zahlreiche Nachmeldungen gegeben, weil die Datenbank des EMS Probleme machte. Am 22. November berichtete Der Standard „Überlastete Corona-Datenbank kämpft seit Pandemiebeginn mit technischen Problemen“ und am 5. Jänner 2022 hieß es: „Zahlen-Chaos: Erneut Probleme beim EMS vor einem Gipfel“. Auch die Kolleg*innen vom KURIER berichten immer wieder über Probleme.
Historie des EMS
Der Wiener Gesundheitsstadtradt Peter Hacker (SPÖ) erklärte im November, dass die Datenbank, die dem EMS zugrunde liegt „eigentlich ausgelegt ist, um 7000 Salmonellenfälle im Jahr zu dokumentieren“, und nicht, um damit eine Corona-Pandemie zu meistern. Tatsächlich wurde das EMS bereits lange vor der Pandemie eingeführt - und zwar als „Instrument zur Vorbeugung bzw. zur Früherkennung und zur raschen Bekämpfung von Infektionskrankheiten“.
„Das System wurde von Mitarbeiter*innen des Gesundheitsministeriums entwickelt, fachlich wurden die Funktionen von Lädervertreter*innen, der AGES und der epidemiologischen Abteilung des BMSGPK (damals BMG) vorgegeben. 2009 wurde die erste Version des EMS gelauncht“, heißt es auf futurezone-Anfrage seitens des Gesundheitsministeriums. Schon 2009 gab es jedoch Probleme. Die AGES berichtete in einem alten Jahresbericht darüber, dass es anfangs "große Schwierigkeiten bei der Dateneingabe und der Datenanalyse" gegeben haben soll.
Die Technik-Komponenten
Wir wollten jedoch generell mehr zur Technik hinter dem EMS in Erfahrung bringen. Auf die Frage, wie das EMS technisch aufgebaut sei, bekamen wir folgende Antwort: „Es handelt sich nicht um eine, sondern mehrere Komponenten (Webanwendungen, Webservice, HL7 Schnittstelle für Labore): .NET Basis, ASP.NET und HL7. Grundsätzlich handelt es sich bei der verwendeten Technologie um Microsoft .NET Framework (C#)“. Das sind Basis-Informationen, die Techniker*innen gegenüber der futurezone mit „kann man ruhig so machen“ kommentieren. Vor allem die HL7-Schnittstelle ist wichtig für Labore, um Meldungen elektronisch via Client-Zertifikat zu tätigen.
Allerdings blieb gerade die Frage, welche Datenbank die Grundlage des EMS bildet, unbeantwortet. Die futurezone stellte auch die Frage, ob in den letzten 3 Jahren Pandemie am EMS - oder der dazugehörigen Datenbank - irgendetwas optimiert und verbessert wurde. Das Gesundheitsministerium beantwortete die Frage mit: „Das EMS wurde in den letzten 3 Jahren hardwaretechnisch aufgestockt, es wurde die elektronische Arztmeldung umgesetzt und die elektronische Labormeldung optimiert.“
Die Datenbank, die offenbar der Grund für die technischen Probleme ist, wird hier ebenfalls wieder bewusst nicht angesprochen, wie Techniker*innen auffällt, mit denen die futurezone die Antworten analysiert hat.
Doch wo liegt jetzt der Flaschenhals?
Technische Probleme des EMS? Dazu gab es ebenfalls keine Antworten. Laut dem Gesundheitsministerium ist das EMS „seit Anbeginn der Pandemie durchgängig 24/7 zur Verfügung gestanden“. Das sei festzuhalten, heißt es. Diese Feststellung widerspricht jedoch Informationen, wonach gerade die Datenbank immer wieder Ausfälle verzeichnet hatte, und Mitarbeiter*innen ihre Daten deshalb nicht rechtzeitig einmelden konnten.
Wenn sich Corona-Daten verspäten, habe das meist nichts mit „technischen Problemen des EMS“ zu tun, heißt es. Die Zahlen, die etwa um 9.30 Uhr veröffentlicht werden, stammen nicht aus dem EMS, sondern werden von der AGES bereit gestellt - und laut Statistikern sind es oft diese Daten, die zu spät kommen. Doch wo liegt nun der Flaschenhals, wenn es einmal wieder heißt, beim EMS gebe es „technische Probleme“?
Dazu sagt das Gesundheitsministerium nach mehrmaliger, hartnäckiger Wiederholung der Frage: „Aufgrund der Komplexität der Einmeldeprozesse - Derzeit sind über 250 Labore österreichweit angebunden - kann es zu Verzögerungen kommen. Hierbei können sich die Probleme unterschiedlich darstellen. Es erfolgt jedenfalls eine entsprechende Analyse und deren Erkenntnisse werden in den Verbesserungsprozess aufgenommen.“ Diese Antwort erklärt leider nicht, was nach 3 Jahren Pandemie falsch oder richtig läuft beim EMS.
"Vereinzelt zu späte Veröffentlichungen"
Datenanalyst Markus Hametner, der mit der corona-ampel.org ein Datenanalyse-Projekt sowie einen täglichen Newsletter, um über die aktuellen Corona-Zahlen zu informieren, betreibt, bestätigt gegenüber der futurezone, dass sich die Anzahl der Datenverspätungen zuletzt stark in Grenzen hielt. „Im ersten Pandemiejahr war es gefühlt regelmäßig der Fall, dass Daten zu spät eingemeldet worden sind. In letzter Zeit gab es nur mehr äußerst vereinzelt zu späte Datenveröffentlichungen“, sagt Hametner. Der letzte Ausfall der Nachmittagszahlen sei am 14. November 2021 registriert worden. Das wäre tatsächlich eine relativ lange Periode der verlässlichen Datenlieferung über das EMS-System.
„Eine gewisse Verlässlichkeit ist meiner Meinung nach unerlässlich. Einerseits ermöglicht nur das die Weiterverwendung der Daten. Andererseits ist sie auch nötig, um Verschwörungstheorien schon von vornherein zu verhindern. Alles, was Vertrauen in die Zahlen und in die Veröffentlichungspolitik untergraben könnte, ist in einer solchen Situation nicht wünschenswert und sollte von Behördenseite vermieden werden“, sagt Hametner.
Für den Datenanalysten ist in dieser Hinsicht auch ein Problem, dass das EMS die Informationen aus 9 eigenen Ländersystemen zusammensammelt, und es so seit Anbeginn der Pandemie immer wieder zu unterschiedlichen Zahlen kommt. „Das ist ein über einem Jahr bestehendes Schnittstellenproblem.“
Mit der Sicherheit nimmt man's nicht so genau
Für die Datenschützer von epicenter.works gibt es mit dem EMS noch weitere Probleme: die Sicherheit des Systems. Im Dezember 2021 hat der Verein aufgedeckt, dass es über eine Sicherheitslücke möglich ist, auf das EMS ohne Eingabe von Passwort oder Username zuzugreifen und man lediglich ein Client-Side-Zertifikat benötigt. Den Mitarbeiter*innen eines Labors, das Tests auswertet und ins EMS einmeldet, wurden die Zertifikate sogar per E-Mail zugeschickt, damit sie von zuhause auf ihren Privatrechnern Zugriff auf das EMS haben. Generell hat außerdem eine relativ große Anzahl von Menschen und verschiedenen Stellen Zugriff auf das System - und das, obwohl es sich bei den Daten um sensible Gesundheitsdaten handelt.
Die entdeckte Schwachstelle war jedenfalls eine unfassbare Sicherheitslücke, die so niemals existieren dürfte. Das Gesundheitsministerium beantwortete die Anfrage der futurezone, ob dieses System mittlerweile umgestellt wurde und das Problem mit dem Sicherheitsleck gelöst sei, nur mit folgendem Satz: Zertifikate seien niemals an Mitarbeiter*innen per E-Mail verschickt worden. Es sei laut Gesetz ein „medienbruchfreier Prozess“ vorgesehen. Merkwürdig ist daran nur, dass für Labore eine PDF-Liste auf der Website des Gesundheitsministeriums mit Kontaktmöglichkeiten bereit gestellt wird, wenn es um Meldungen ans EMS geht. Diese Kontaktmöglichkeiten bestehen aus E-Mail-Adressen.
Thomas Lohninger von epicenter.works bestätigte, dass die Lücke bisher seit knapp einem Monat noch nicht behoben worden sei: „Weder wurde die von uns damals aufgedeckte Lücke bisher geschlossen, noch kam es zu einer Überprüfung, ob durch das EMS Daten abgeflossen oder manipuliert wurden.“
Die Zukunft: Viele Köpfe bringen ihre Erfahrungen ein
Bleibt am Ende nur noch die Frage, wie es mit dem EMS weitergeht - und ob es hier noch während der Pandemie weitere Nachbesserungen geben wird. Laut dem Gesundheitsministerium ist eine Neuordnung geplant. Doch, wie aus der Antwort des Ministeriums hervor geht, dürfte diese nicht so schnell kommen, weil viele Menschen hier ein Wörtchen mitzureden haben: „Der Prozess für das Re-Design des EMS wurde bereits im letzten Jahr gestartet. Es werden in unterschiedlichen Arbeitsgruppen (Bund, Länder, Bezirksverwaltungsbehörden, AGES und weitere Stakeholder) die Anforderungen gesammelt und in Abstimmung mit den Bundesländern die technische Umsetzung diskutiert“, heißt es.
„Wie bereits bei der Erstentwicklung hat es sich bewährt, die Bezirksverwaltungsbehörden in die Phase der Anforderungsdefinition mit einzubeziehen.“ Das klingt nach einem ziemlich umfangreichen Projekt. Es ist also fraglich, ob dieses wirklich noch 2022 abgeschlossen sein wird, wie ursprünglich angekündigt.