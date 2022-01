In Österreich hätten alle an ein zentrales Test-System angeschlossene Apotheken auf die Ergebnisse und persönliche Daten von getesteten Menschen zugreifen können. Als ein Webentwickler das Problem meldet, wird er erst ignoriert und dann gefeuert.

Die zentrale Corona-Test-Plattform des österreichischen Gesundheitsministeriums hatte ein schwerwiegendes Sicherheitsproblem: Alle Apotheken, die bei der Plattform Oesterreich-testet.at mitmachen, konnten nicht nur die Daten der Menschen abrufen, die sie selbst getestet hatten, sondern auf alle Tests der vorangegangenen sieben Tage zugreifen. „Über diese Lücke ist es möglich, Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potenziell hunderttausenden Personen in ganz Österreich abzurufen“, berichtet die Digital-NGO Epicenter.Works.

Über die Änderung der Webadresse (URL) war ein Zugriff auf die anderen Testdaten möglich. Thomas Lohninger von Epicenter.Works vergleicht das Apotheken-Testsystem mit einem Bankautomaten, bei dem man zwar eine Karte und ein PIN brauche, aber dann Geld von beliebigen Konten abheben könnte. „Ich verstehe nicht, wie eine so triviale Sicherheitslücke so lange niemandem aufgefallen ist“, so Lohninger weiter.

Fragwürdiger Umgang mit Sicherheitsforscher

Aufgedeckt wurde der Fehler von einem Webentwickler, der für eine an das System angeschlossene Apotheke arbeitete. Als dieser die Sache dem Gesundheitsministerium meldete, reagierte dort zunächst niemand. Zusätzlich wandte er sich an den ORF. Als der österreichische Rundfunk ORF dann im Ministerium anfragte, sperrte das Ministerium die Apotheke und die entließ in der Folge den Entwickler. Epicenter.Works weist auf das etablierte System der „responsible disclosure“ hin – also Sicherheitslücken zuerst den Betroffenen zu melden und erst öffentlich zu machen, wenn diese Zeit hatten, sie zu beheben. Die Organisation betont, dass sich der Entwickler absolut richtig verhalten habe, indem er den Verantwortlichen sofort Bescheid gegeben hat. „Anstatt sich dafür zu bedanken, hat das Gesundheitsministerium dafür gesorgt, dass er seinen Job verliert“, so die Organisation weiter.

Gegenüber dem Standard bestand das Ministerium jedoch darauf, dass nicht die Software das Problem sei, sondern eine „widerrechtliche Verwendung interner Dokumentationssysteme durch eine einzelne Apotheke“. Gleichzeitig kündigte das Ministerium aber „Anpassungen“ an. Mittlerweile ist das Problem behoben. Die verantwortliche Firma sagt, dass sie anhand der Logfiles keine weiteren unberechtigten Datenabrufe habe feststellen können.

Nicht das erste Problem mit Corona-Daten

Schon vor einigen Wochen gab es Probleme, als Österreichs zentrales Meldesystem für Corona-Daten ein schwerwiegendes Problem hatte. Laut einer gemeinsamen Recherche der Zeitung Der Standard und der Bürgerrechtsorganisation Epicenter.Works war es damals für Unbefugte möglich gewesen, personenbezogene Daten abzufragen und falsche Laborergebnisse einzuspielen.

Der Zugriff auf die Schnittstelle zum Epidemiologischen Meldesystem (EMS) war durch ein nicht-personalisiertes Zertifikat möglich. Wer ein solches Zertifikat hatte, konnte auf das System zugreifen. Insgesamt waren laut der Recherche mehr als 225 solcher Zertifikate im Umlauf, mindestens eines davon lief auf eine Labor-Firma, die schon seit mehreren Monaten nicht mehr dazu berechtigt hätte sein sollen. Es gab keine Bindung auf IP-Adressen von Laboren, was den Zugriff begrenzt hätte.

Offenlegung:

Thomas Lohninger schreibt ab und zu für netzpolitik.org.