Datenskandal: Zugriff auf EMS ohne Passwort möglich

Der Verein epicenter.works macht auf ein Sicherheitsproblem beim österreichischen Corona-Register aufmerksam. Die Sicherheitslücke erlaubt Zugriff auf das Epidemiologische Meldesystem (EMS), ohne die Eingabe von Passwort oder Usernamen.

Dazu ist lediglich ein Client-Side-Zertifikat nötig. Ist das im Browser vorhanden, kann von einem beliebigen Computer aus, egal von welcher IP-Adresse, auf das EMS zugegriffen werden, wie auch der Standard berichtete.

Das Team von epicenter.works hat die Lücke mit einem Zertifikat von HG Lab Truck nachvollziehen können und ein Video davon gemacht.

Das HG Lab Truck wertete bis Juli 2021 die Corona-Tests in Tirol aus. Weil es so viele Corona-positiv getestete Personen gab, wurden die Eintragungen der Krankheiten in das EMS an ein Drittunternehmen ausgelagert.

Den Mitarbeiter*innen des Unternehmens wurden die Zertifikate per E-Mail zugeschickt, damit sie von zuhause auf ihren Privatrechnern Zugriff auf das EMS haben. Laut dem Gesundheitsministerium wurden 225 solcher HG Lab Truck-Zertifikate ausgegeben. Man könne aber nicht sagen, auf wie vielen Computern diese genutzt werden.

Ähnlich wie epicenter.works könnten also unberechtigte Personen eine Kopie des Zertifikats haben und damit ins EMS einsteigen. Obwohl das HG Lab Truck schon im Juli den Auftrag zur Corona-Testauswertung verlor, waren die Zertifikate weiterhin gültig. Sie wurden erst diese Woche gesperrt, nachdem epicenter.works das Gesundheitsministerium informierte.

Krankheiten für alle Personen in Österreich eintragbar

Im EMS können alle positiven Tests, die vom HG Lab Truck ausgewertet wurden, angesehen werden, mitsamt den persönlichen Daten der Erkrankten. In einigen Fällen sind auch Telefonnummer und E-Mail-Adresse sichtbar.

Außerdem können neue, meldepflichtige Erkrankungen für alle Personen in Österreich eingegeben werden. Das ist nicht nur mit COVID-19 möglich, sondern etwa auch mit AIDS, Syphilis und Tripper. Zum Eintragen sind nur Name und Geburtsdatum nötig. Die restlichen Daten werden über eine Abfrage im Zentralen Melderegister (ZMR) ausgefüllt. Dazu ist nur ein Klick notwendig. Auch für Personen, die eigentlich im ZMR gesperrt sind (Politiker*innen, Richter*innen, Prominente…), kann so die Wohnadresse abgefragt werden.

Laut epicenter.works wollte das Gesundheitsministerium nicht sagen, wie viele solcher Zertifikate für andere Labors ausgestellt wurden. Außerdem seien laut dem Ministerium die Labore dafür verantwortlich, dass die Zertifikate nicht missbräuchlich für den Zugriff auf EMS und ZMR genutzt werden.

Auf der Website von epicenter.works wird ein Formular angeboten, um Auskunft über die eigenen Einträge im EMS zu bekommen. So sollen Personen überprüfen können, ob bei ihnen meldepflichtige Krankheiten eingetragen wurden, die sie gar nicht haben.