17.12.2021 09:05 |

Manipulation möglich

Im amtlichen Corona-Register klaffte Schwachstelle

„Gravierende Sicherheitsmängel im Gesundheitsministerium“ orten die Datenschützer von epicenter.works: Über eine inzwischen geschlossene Schwachstelle war es Unbefugten der NGO zufolge möglich, allen Menschen in Österreich beliebige anzeigepflichtige Krankheiten, wie AIDS, Syphilis oder Covid-19, im Epidemiologischen Meldesystem (EMS) einzutragen und im begrenzten Umfang abzufragen, ob jemand in Österreich diese Krankheit bereits hat. Es müssten somit ernsthafte Zweifel an der Qualität der Daten gehegt werden, die auch für das automatisierte Versenden von Verwaltungsstrafen im Rahmen der Impfpflicht herangezogen würden, so die Datenschützer.

Für das EMS verantwortlich ist der Gesundheitsminister, aktuell Wolfgang Mückstein. Laut § 4 Abs. 9 Epidemiegesetz habe er sicherzustellen, dass nur identifizierte Personen auf das EMS zugreifen können und dem Stand der Technik entsprechende Vorkehrungen gegen unbefugtes Verändern oder Abfragen des Registers eingehalten werden, so epicenter.works. Anhand des Tiroler Labors HG Lab Truck konnten die Datenschützer aber belegen, dass mit einem sogenannten client-side-Zertifikat von beliebigen Internetadressen über jeden Webbrowser ohne Eingabe eines Benutzernamen oder Passworts auf das EMS zugegriffen werden kann.

225 dieser Zertifikate seien derzeit laut Gesundheitsministerium im Umlauf, unklar sei allerdings, auf wie vielen Rechnern diese verwendet würden. Der Grund dafür scheint laut der Datenschutz-NGO zu sein, dass es durch die hohe Anzahl an Covid-19-Positivtestungen von November 2020 bis März 2021 zu einem Rückstau bei den Eintragungen der Labore ins EMS kam. HG Lab Truck habe die Dateneingabe daraufhin an ein externes Unternehmen ausgelagert. In der Folge hätten Arbeitskräfte, „die weder ordentlich geschult waren noch eine Datenschutz-Verschwiegenheitserklärung unterschrieben hatten, Zugriff auf das EMS“ gehabt.

Auch nachdem HG Lab Truck im Juli 2021 den Auftrag für die Testungen in Tirol verloren habe, sei der EMS-Zugang der Arbeitskräfte aufrecht geblieben. Zudem werde der ehemalige Chef des Unternehmens, der inzwischen seine Zulassung als Arzt verloren hat und seit Juli nicht mehr für das Labor tätig ist, nach wie vor im System als medizinisch Verantwortlicher angeführt, so epicenter.works.

„Erschreckende Missbrauchsszenarien“
Die daraus resultierenden Missbrauchsszenarien seien „erschreckend“: „Unter Angabe von Name, Geburtsdatum und Geschlecht ist der Zugriff auf die private Adresse - und im Fall von Corona-positiven Menschen über das Contact Tracing auch deren Telefonnummer und E-Mail - möglich“, so die Datenschützer. Das betrifft demnach auch im Zentralen Melderegister gesperrte Personen, etwa aus Justiz, Medien oder Politik, „die aus gutem Grund ihre persönliche Adresse geheim halten wollen“.

Dadurch wäre es beispielsweise möglich herauszufinden, ob eine beliebige, in der Öffentlichkeit stehende Person mit einer meldepflichtigen Krankheit wie Tripper, Syphilis, AIDS oder Covid-19 infiziert gewesen sei. „Gerade bei Menschen des öffentlichen Lebens wäre damit eine Erpressung denkbar. Jedenfalls aber wären ihre sensiblen Gesundheitsdaten in falschen Händen“, schreibt epicenter.works.

Hintertür für die Umgehung der Impfpflicht
Mit ein paar weiteren Klicks ließen sich der NGO zufolge aber auch meldepflichtigen Krankheiten eintragen. „Laut Informationen des Gesundheitsministeriums ist die Gesundheitsbehörde in der Bezirkshauptmannschaft zwar verpflichtet, diese Labormeldungen noch manuell zu prüfen (...). Jedoch ist es fraglich, was diese manuelle Prüfung bei einem großen Fallaufkommen und der bereits aufgetretenen Überlastung der Gesundheitsämter genau umfasst. Sollte es dort lediglich zu oberflächlichen Prüfung kommen, hätte die betroffene Person zwar eine Quarantäneauflage, jedoch wäre dies auch eine Hintertür für die Umgehung der Impfpflicht (...) und wohl eine illegale Nebenerwerbsmöglichkeit für jene, die dieses client-side-Zertifikat besitzen.“

Den Datenschützern zufolge ist unklar, ob neben HG Lab Truck auch andere Labore „freizügig mit ihrem Zugriff auf das EMS umgegangen sind“ und ob es dadurch „zu einer systematischen oder großflächigen Verfälschung des Datenbestands im EMS kam“. Wer sich selbst ein klares Bild über die eigenen Daten machen will, dem bietet epicenter.works ein Datenschutzauskunftsformular an, um diese aus dem EMS abzufragen. Das Gute an diesem ist den Datenschützern zufolge, dass jeder Zugriff darauf protokolliert wird - sollte es möglich sein, herauszufinden, „ob es zu einem Abfluss von Daten kam“.

Eine Analyse dieser Logfiles könnte Aufschluss darüber geben, wie viele IP-Adressen pro Zertifikat auf das EMS zugegriffen haben und wurde laut epicenter.works seitens des Gesundheitsministeriums bereits in Aussicht gestellt. Der Fall wurde zudem der Datenschutzbehörde gemeldet.

Gesundheitsministerium beschwichtigt
Im Gesundheitsministerium selbst betont man, dass es sich bei der beschriebenen Web-Oberfläche nicht um das EMS, sondern um ein Tool handelt, mit dem Labore Testergebnisse an die Behörden übermitteln können. „Der Anbieter wurde bereits gesperrt und weitere rechtliche Schritte werden derzeit geprüft“, hieß es aus dem Ministerium. Über den angeführten Zugang wurden, seitdem das Unternehmen die Tätigkeiten eingestellt hat, keine Testergebnisse mehr übermittelt. „Es kam daher zu keinem Zeitpunkt zu widerrechtlich ausgestellten Nachweisen.“

Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Dienstag, 18. Jänner 2022
Wetter Symbol