Die zentrale Corona-Test-Plattform des österreichischen Gesundheitsministeriums hatte ein schwerwiegendes Sicherheitsproblem: Alle Apotheken, die bei der Plattform Oesterreich-testet.at mitmachen, konnten nicht nur die Daten der Menschen abrufen, die sie selbst getestet hatten, sondern auf alle Tests der vorangegangenen sieben Tage zugreifen. „Über diese Lücke ist es möglich, Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potenziell hunderttausenden Personen in ganz Österreich abzurufen“, berichtet die Digital-NGO Epicenter.Works.
Über die Änderung der Webadresse (URL) war ein Zugriff auf die anderen Testdaten möglich. Thomas Lohninger von Epicenter.Works vergleicht das Apotheken-Testsystem mit einem Bankautomaten, bei dem man zwar eine Karte und ein PIN brauche, aber dann Geld von beliebigen Konten abheben könnte. „Ich verstehe nicht, wie eine so triviale Sicherheitslücke so lange niemandem aufgefallen ist“, so Lohninger weiter.
Fragwürdiger Umgang mit Sicherheitsforscher
Aufgedeckt wurde der Fehler von einem Webentwickler, der für eine an das System angeschlossene Apotheke arbeitete. Als dieser die Sache dem Gesundheitsministerium meldete, reagierte dort zunächst niemand. Zusätzlich wandte er sich an den ORF. Als der österreichische Rundfunk ORF dann im Ministerium anfragte, sperrte das Ministerium die Apotheke und die entließ in der Folge den Entwickler. Epicenter.Works weist auf das etablierte System der „responsible disclosure“ hin – also Sicherheitslücken zuerst den Betroffenen zu melden und erst öffentlich zu machen, wenn diese Zeit hatten, sie zu beheben. Die Organisation betont, dass sich der Entwickler absolut richtig verhalten habe, indem er den Verantwortlichen sofort Bescheid gegeben hat. „Anstatt sich dafür zu bedanken, hat das Gesundheitsministerium dafür gesorgt, dass er seinen Job verliert“, so die Organisation weiter.
Gegenüber dem Standard bestand das Ministerium jedoch darauf, dass nicht die Software das Problem sei, sondern eine „widerrechtliche Verwendung interner Dokumentationssysteme durch eine einzelne Apotheke“. Gleichzeitig kündigte das Ministerium aber „Anpassungen“ an. Mittlerweile ist das Problem behoben. Die verantwortliche Firma sagt, dass sie anhand der Logfiles keine weiteren unberechtigten Datenabrufe habe feststellen können.
Nicht das erste Problem mit Corona-Daten
Schon vor einigen Wochen gab es Probleme, als Österreichs zentrales Meldesystem für Corona-Daten ein schwerwiegendes Problem hatte. Laut einer gemeinsamen Recherche der Zeitung Der Standard und der Bürgerrechtsorganisation Epicenter.Works war es damals für Unbefugte möglich gewesen, personenbezogene Daten abzufragen und falsche Laborergebnisse einzuspielen.
Der Zugriff auf die Schnittstelle zum Epidemiologischen Meldesystem (EMS) war durch ein nicht-personalisiertes Zertifikat möglich. Wer ein solches Zertifikat hatte, konnte auf das System zugreifen. Insgesamt waren laut der Recherche mehr als 225 solcher Zertifikate im Umlauf, mindestens eines davon lief auf eine Labor-Firma, die schon seit mehreren Monaten nicht mehr dazu berechtigt hätte sein sollen. Es gab keine Bindung auf IP-Adressen von Laboren, was den Zugriff begrenzt hätte.
Offenlegung:
Thomas Lohninger schreibt ab und zu für netzpolitik.org.
In der letzten Zeit lese ich immer häufiger, dass die Entdecker*innen von Sicherheitslücken erheblichen Anfeindungen und Nachteilen ausgesetzt sind. Mein Eindruck mag täuschen, aber wenn dieser Trend anhält, müssen sich Unternehmen und Behörden nicht wundern, wenn niemand mehr Sicherheitslücken meldet und stattdessen Kriminelle erheblichen Schaden verursachen.
Vielleicht eine Diskrepanz zwischen Gesetzgebungsebene und Technikabteilungen.
Unternehmen leben sehr gut mit kaputtem Gerät, solange wer aufmuckt, stillgelegt werden kann. Das kennen wir aus der Vergangenheit doch so. Wollen wir Demokratie, müssen wir demokratische Regeln machen, und nicht darauf warten, dass der Industrie welche von irgendwo her zuschwimmen. Vielleicht fällt das der neuen Regierung ja aus irgendeinem Grunde leichter…
Das stimmt in der Tat. Zum analogen Vergleich: Wer würde denn noch verdächtigen Qualm bzw. einen Brand melden, wenn man praktisch jedes mal selbst erstmal zum Hauptverdächtigen Brandstifter werden würde?
„Shoot the Messenger“ wird also weiterhin praktiziert. Willkommen im Mittelalter…