Lücke in österreich-testet.at gefunden: Entdecker wird gefeuert
Dieser Artikel ist älter als ein Jahr!
Der Webentwickler Gökhan S. hat bei der Plattform Österreich testet eine Sicherheitslücke entdeckt: Jede Apotheke, die bei österreich-testet.at teilnimmt, konnte die Daten von allen Corona-Tests in ganz Österreich über die reguläre Programmierschnittstelle der Website abrufen.
Betroffene Datensätze waren: Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail sowie das Corona-Testergebnis. Betroffene Menschen: Potentiell hundertausende Personen in ganz Österreich, die sich in den vergangenen 7 Tagen über österreich-testet.at zu einem Corona-Test angemeldet haben. Das berichtet epicenter.works. Die Bürgerrechtsorganisation hat sich die Sicherheitslücke zusammen mit dem Team von ORF konkret näher angesehen.
„Die Plattform österreich-testet.at funktionierte so wie ein Bankomat, bei dem man zwar eine Bankomatkarte und einen PIN-Code braucht, aber dann Geld von beliebigen Konten abheben könnte“, erklärt Thomas Lohninger, Geschäftsführer von epicenter.works. Die Lücke sei „by design“, so Lohninger zur futurezone. Frei nach dem Motto: „Das sind vertrauenswürdige Gesundheitsdienstleister, die werden schon nichts Böses mit den Daten machen.“
Sofort gemeldet, zum Dank gekündigt
Gökhan S., der einen Job als Webentwickler bei einer Apotheke hatte, wandte sich mit seiner Entdeckung an das Gesundheitsministerium. Er meldete die Lücke sofort, nachdem er sie entdeckt hatte. Erst als ORF konkret beim Ministerium nachhakte, kam eine Reaktion: Die Apotheke, bei der Gökhan S. gearbeitet hatte, wurde von österreich-testet.at ausgeschlossen. Daraufhin beendete die Apotheke das Arbeitsverhältnis mit Gökhan S. Update: In einer früheren Version des Artikels war ein Symbolbild einer Wiener Apotheke der APA zu sehen. Dieses zeigte nicht die Apotheke, in der Gökhan S. gearbeitet hatte.
Stellungnahme des Gesundheitsministeriums
Gegenüber ORF konkret gab das Gesundheitsministerium an, dass es sich nicht um eine Sicherheitslücke handle, sondern um eine „widerrechtliche Verwendung interner Dokumentationssysteme einer einzelnen Apotheke“. Das bestätigte das Ministerium auch auf futurezone-Anfrage. Die Apotheke sei im Rahmen von Testungen der "alleinige Datenschutzverantwortliche". "Eine Zuständigkeit des Gesundheitsministeriums ist daher nicht gegeben", heißt es. Das Ministerium "bedaure diesen Vorfall, möchte aber anmerken, dass auch Apotheken – gleich wie niedergelassene Ärzt*innen – einer gesetzlichen Sorgfaltspflicht sowie einem Berufsgeheimnis unterliegen."
Man habe aber dennoch „Anpassungen vorgenommen, um die Systeme besser gegen eine etwaigige widerrechtliche Verwendung einzelner Teststellen zu schützen“, hieß es gegenüber der futurezone. "Dem Ministerium ist selbstverständlich auch die Sicherheit von Gesundheitsdaten, für deren Verarbeitung andere Stellen datenschutzrechtlich Verantwortliche sind ein großes Anliegen. Aus diesem Grund wurde gemeinsam mit der Apothekerkammer das interne System einzelner Apotheken optimiert und der angesprochene Fehler behoben", so das Ministerium.
Ein Check seitens epicenter.works ergab, dass es jetzt nicht mehr möglich ist, auf alle Testergebnisse der Angemeldeten zuzugreifen.
Teurer Betrieb ohne ausführliche Tests
Die Bürgerrechtsorganisation, die erst im Dezember schwere Sicherheitsprobleme bei Epidemiologischen Meldesystem (EMS) aufgedeckt hatte, ist dennoch erschüttert. „Gökhan S. habe sich in der Situation absolut richtig verhalten, in dem er den Verantwortlichen sofort Bescheid gegeben hat. Anstatt sich dafür zu bedanken, habe das Gesundheitsministerium dafür gesorgt, dass er seinen Job verliert“, heißt es. Lohninger forderte eine Entschuldigung beim Programmierer und ruft das Ministerium dazu auf, „schleunigst die IT-Kompetenz in seinem Haus zu steigern“.
Das Ministerium wies jedoch die Zuständigkeit in dem speziellen Fall von sich. „Dem Ministerium ist die Einhaltung aller datenschutzrechtlichen Verpflichtungen ein besonderes Anliegen. Dies trifft natürlich auch im Rahmen der gegenwärtigen Pandemiebekämpfung auf die eigens hierfür eingerichteten Plattformen zu", heißt es. Doch das gelte nicht für den konkreten Fall. Statt eines Fehlers würde eine "widerrechtliche Verwendung des Systems" vorliegen.
Das Portal österreich-testet.at wird von World Direct, einer A1-Tochter, betrieben. World Direct gab an, dass kein Datenabfluss über diesen Angriffsvektor stattgefunden haben soll. Das wisse man aus den Zugriffsprotokollen, heißt es.
Die Erstellung dieses Buchungssystems für COVID-19-Tests kostete eine halbe Million Euro und ihren Betrieb lässt sich das Gesundheitsministerium 187.000 Euro pro Monat kosten, wie aus einer parlamentarischen Anfrage hervorgeht. Bei einer „systematischen Risikobewertung“, einer Datenschutzfolgeabschätzung und Penetration Tests hätte diese relativ offensichtliche Sicherheitslücke sofort auffallen müssen, heißt es seitens epicenter.works. Das wäre bei der Verarbeitung von sensiblen Gesundheitsdaten „zwingend vorgeschrieben“ gewesen.
Kommentare