ÖsterreichMassive Sicherheitsmängel bei staatlichen Corona-Daten

Der Zugriff auf das zentrale „Epidemiologische Meldesystem“ in Österreich war unzureichend geregelt. Dadurch hätten Unbefugte im System Krankheiten eintragen und personenbezogene Daten ausforschen können.

Ein zu großer Personenkreis hätte Testergebnisse in die Datenbank eintragen können. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Prasesh Shiwakoti (Lomash)

Österreichs zentrales Meldesystem für Corona-Daten hatte ein schwerwiegendes Problem. Dadurch wäre es laut einer gemeinsamen Recherche der Zeitung Der Standard und der Bürgerrechtsorganisation Epicenter Works für Unbefugte möglich gewesen, personenbezogene Daten abzufragen und falsche Laborergebnisse einzuspielen.

Im Bericht von Epicenter Works heißt es: 

Über eine Lücke ist es Unbefugten möglich, allen Menschen in Österreich beliebige anzeigepflichtige Krankheiten, wie AIDS, Syphilis oder Covid-19 im Epidemiologischen Meldesystem (EMS) einzutragen und im begrenzten Umfang abzufragen, ob jemand in Österreich diese Krankheit bereits hat. Auch kann auf das komplette Zentrale Melderegister in Österreich zugegriffen werden. Dies auch bei Personen, die ihre Privatadresse dort gesperrt haben.

Dadurch wären verschiedene Bedrohungszenarien möglich: vom unbefugten Datenzugriff über Erpressungen bis hin zum Impfpflichtsbetrug. Denn theoretisch hätten Personen eine nicht existente Covid-Infektion in der staatlichen Datenbank eintragen können, damit jemand eine Genesungsbescheinigung erhält und dann für 180 Tage von der Impfpflicht befreit wird. Ob solche Manipulationen an den Daten stattgefunden haben, konnte die Recherche nicht belegen. Da aber alle Aktionen im System geloggt werden, wird das Gesundheitsministerium nun eine Prüfung vornehmen, berichten die Datenschutz-Aktivisten.

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org


Zugriff ohne Benutzername und Passwort möglich

Der Zugriff auf die Schnittstelle zum Epidemiologischen Meldesystem (EMS) war durch ein nicht-personalisiertes Zertifikat möglich. Wer ein solches Zertifikat hat, kann auf das System zugreifen. Insgesamt sind laut der Recherche mehr als 225 solcher Zertifikate im Umlauf, mindestens eines davon lief auf eine Labor-Firma, die schon seit mehreren Monaten nicht mehr dazu berechtigt sein sollte. Es gab keine Bindung auf IP-Adressen von Labore, die den Zugriff begrenzt hätte. Eine Nachverfolgung von Personen, die das System missbraucht haben könnten, ist auch kaum möglich, weil ein solches einfach kopierbares Zertifikat ausreichte, um Zugriff zu erlangen.

Durch die Recherche kam zudem heraus, dass die Zertifikate von dem betreffenden Labor-Unternehmen an Subunternehmen weitergereicht wurden. In mindestens einer Firma zirkulierten laut der Recherche unverschlüsselte Mails mit dem Zertifikat, aber auch Excel-Dateien mit Gesundheitsdaten österreichischer Bürger:innen, die sich mit Covid infiziert hatten. 

Das österreichische Gesundheitsministerium behauptet gegenüber dem Standard, dass mögliche Angreifer keinen „Zugang zum EMS“ gehabt hätten. Es handle es sich um eine Seite, um Labormeldungen abzurufen. Bei der Plattform, die der Standard und Epicenter Works einsehen konnten, stand allerdings „EMS“ im Namen der Website und auch das Zertifikat trägt den Namen „EMS Labor“. Laut Thomas Lohninger von Epicenter Works handelt es sich um eine Labor-Schnittstelle in das EMS, diese sei auch in mehreren Dokumentationen so benannt.

Laut dem Zeitungsbericht geht man beim Gesundheitsministerium nicht davon aus, dass es ein Datenleck gab. Das Gesundheitsministerium will allerdings das EMS im nächsten Jahr neu ordnen.

Eine Ergänzung

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.