Österreichs zentrales Meldesystem für Corona-Daten hatte ein schwerwiegendes Problem. Dadurch wäre es laut einer gemeinsamen Recherche der Zeitung Der Standard und der Bürgerrechtsorganisation Epicenter Works für Unbefugte möglich gewesen, personenbezogene Daten abzufragen und falsche Laborergebnisse einzuspielen.
Im Bericht von Epicenter Works heißt es:
Über eine Lücke ist es Unbefugten möglich, allen Menschen in Österreich beliebige anzeigepflichtige Krankheiten, wie AIDS, Syphilis oder Covid-19 im Epidemiologischen Meldesystem (EMS) einzutragen und im begrenzten Umfang abzufragen, ob jemand in Österreich diese Krankheit bereits hat. Auch kann auf das komplette Zentrale Melderegister in Österreich zugegriffen werden. Dies auch bei Personen, die ihre Privatadresse dort gesperrt haben.
Dadurch wären verschiedene Bedrohungszenarien möglich: vom unbefugten Datenzugriff über Erpressungen bis hin zum Impfpflichtsbetrug. Denn theoretisch hätten Personen eine nicht existente Covid-Infektion in der staatlichen Datenbank eintragen können, damit jemand eine Genesungsbescheinigung erhält und dann für 180 Tage von der Impfpflicht befreit wird. Ob solche Manipulationen an den Daten stattgefunden haben, konnte die Recherche nicht belegen. Da aber alle Aktionen im System geloggt werden, wird das Gesundheitsministerium nun eine Prüfung vornehmen, berichten die Datenschutz-Aktivisten.
Zugriff ohne Benutzername und Passwort möglich
Der Zugriff auf die Schnittstelle zum Epidemiologischen Meldesystem (EMS) war durch ein nicht-personalisiertes Zertifikat möglich. Wer ein solches Zertifikat hat, kann auf das System zugreifen. Insgesamt sind laut der Recherche mehr als 225 solcher Zertifikate im Umlauf, mindestens eines davon lief auf eine Labor-Firma, die schon seit mehreren Monaten nicht mehr dazu berechtigt sein sollte. Es gab keine Bindung auf IP-Adressen von Labore, die den Zugriff begrenzt hätte. Eine Nachverfolgung von Personen, die das System missbraucht haben könnten, ist auch kaum möglich, weil ein solches einfach kopierbares Zertifikat ausreichte, um Zugriff zu erlangen.
Durch die Recherche kam zudem heraus, dass die Zertifikate von dem betreffenden Labor-Unternehmen an Subunternehmen weitergereicht wurden. In mindestens einer Firma zirkulierten laut der Recherche unverschlüsselte Mails mit dem Zertifikat, aber auch Excel-Dateien mit Gesundheitsdaten österreichischer Bürger:innen, die sich mit Covid infiziert hatten.
Das österreichische Gesundheitsministerium behauptet gegenüber dem Standard, dass mögliche Angreifer keinen „Zugang zum EMS“ gehabt hätten. Es handle es sich um eine Seite, um Labormeldungen abzurufen. Bei der Plattform, die der Standard und Epicenter Works einsehen konnten, stand allerdings „EMS“ im Namen der Website und auch das Zertifikat trägt den Namen „EMS Labor“. Laut Thomas Lohninger von Epicenter Works handelt es sich um eine Labor-Schnittstelle in das EMS, diese sei auch in mehreren Dokumentationen so benannt.
Laut dem Zeitungsbericht geht man beim Gesundheitsministerium nicht davon aus, dass es ein Datenleck gab. Das Gesundheitsministerium will allerdings das EMS im nächsten Jahr neu ordnen.
Schön, das kritisiere ich schon seit mehr als einem Jahr.
Im übrigen ist das nur die Spitze eines Eisberbers.