„Krone“-Kommentar
oesterreich-testet.at
Corona-Tests: IT-Experte meldete Lücke, verlor Job
Der Entdecker der Sicherheitslücke meldete diese beim Gesundheitsministerium. Daraufhin bekam sein Arbeitgeber - eine Apotheke - Probleme und der IT-Experte verlor seinen Job.
(Bild: Stock.adobe.com, Screenshot oesterreich-testet.at)
Bei der Anmeldeplattform „Österreich testet“, der Website des Gesundheitsministeriums zur Organisation von Covid-19-Tests, soll es eine massive Sicherheitslücke gegeben haben. Laut „ORF konkret“ und der Datenschutz-NGO „epicenter.works“ hat dadurch eine zugriffsberechtigte Apotheke nicht bloß auf die von ihr durchgeführten Tests Zugriff gehabt, sondern auf die gesamten Daten aller Tests der vergangenen Woche. Die Reaktion des Ministeriums nach der Meldung der Lücke sorgt für Kritik.
Über die Lücke sei es möglich gewesen, Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail-Adresse und Corona-Testergebnis von potenziell Hunderttausenden Personen in ganz Österreich abzurufen. Laut Thomas Lohninger, Geschäftsführer von epicenter.works, handelte es sich dabei um mehrere Millionen Datensätze.
Die Apotheke, bei der der Entwickler beschäftigt war, wurde nach Meldung der Lücke von "Österreich testet" ausgeschlossen.
(Bild: APA/BARBARA GINDL)
Meldung über Lücke wurde ignoriert
Entdeckt wurde die Sicherheitslücke von einem von besagter Apotheke beauftragten Web-Entwickler, der diese dokumentierte und sich mit der Bitte um dringende Reparatur an das Gesundheitsministerium und den ORF gewandt habe. Den Datenschützern zufolge ist der Programmierer zunächst ignoriert worden. Erst als der ORF anfragte, habe es eine Reaktion gegeben. Und zwar sei die Apotheke von oesterreich-testet.at ausgeschlossen worden, woraufhin diese das Arbeitsverhältnis mit dem Mann beendete.
Lesen Sie auch:
Das Gesundheitsministerium habe zunächst abgestritten, dass es sich um eine Sicherheitslücke handelt und sprach von einer „widerrechtlichen Verwendung interner Dokumentationssysteme“ einer einzelnen Apotheke.
Gleichlautend argumentierte das Ministerium am Donnerstag in einer Stellungnahme. Die Apotheken seien im Rahmen der Testungen „alleinige Datenschutzverantwortliche“, eine Zuständigkeit des Gesundheitsministeriums sei nicht gegeben. Zudem merkte das Ministerium an, dass Apotheken wie niedergelassene Ärzte „einer gesetzlichen Sorgfaltspflicht sowie einem Berufsgeheimnis unterliegen“.
Man habe gemeinsam mit der Apothekerkammer das interne System einzelner Apotheken optimiert und den angesprochenen Fehler behoben, hieß es: „In den vergangenen Wochen wurden entsprechende Anpassungen vorgenommen, um die internen Dokumentationssysteme noch besser gegen eine etwaige widerrechtliche Verwendung einzelner Teststellen zu schützen.“
Scharfe Kritik an der Reaktion des Ministeriums
Lohninger kritisierte die Vorgehensweise scharf. Statt dem Entdecker der Sicherheitslücke dankbar zu sein, habe das Gesundheitsministerium dafür gesorgt, dass er seinen Job verliert. Dabei habe sich der Webentwickler „absolut richtig“ verhalten.
Von Gesundheitsminister Wolfgang Mückstein fordert epicenter.works-Chef Lohninger eine Entschuldigung bei dem Programmierer.
(Bild: APA/HANS PUNZ)
Der Progammierer habe die Sicherheitslücke dokumentiert und den Verantwortlichen Bescheid gegeben, obwohl das Wissen um diese viel Geld hätte wert sein können. Neben dem Missbrauch der Lücke für Identitätsdiebstahl, Datenhandel oder Erpressung hätte auch das Wissen um die Sicherheitslücke selbst verkauft werden können.
Gesundheitsminister Wolfgang Mückstein (Grüne) sollte sich bei dem Programmierer entschuldigen und „schleunigst“ die IT-Kompetenz in seinem Haus steigern, verlangte Lohninger. Die Website wird von World Direct, einer 100-prozentigen Tochter von A1, betrieben.
oestereich-testet.at kostet fast 190.000 Euro im Monat
Die Erstellung des Buchungssystems für Corona-Tests kostete eine halbe Million Euro und ihren Betrieb lässt sich das Gesundheitsministerium stolze 187.000 Euro pro Monat kosten, wie aus einer parlamentarischen Anfragebeantwortung von Ex-Gesundheitsminister Rudolf Anschober (Grüne) an die NEOS vor rund einem Jahr hervorgeht.
Angesichts dieses lukrativen Staatsauftrags erscheine es nicht nachvollziehbar, wieso das System von A1 keiner Sicherheitsüberprüfung (Penetrationstest) unterzogen wurde, kritisiert Lohninger.
krone.at
Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
Ähnliche Themen
Jordanien: Friedensinsel im Nahen Osten
Heftig kritisiert
Hier im Liveticker
Eine Million Haushalte
Spital am Semmering
Korruptionsverdacht
Im OECD-Vergleich
Besuch in der Hofburg
Knalleffekt in Tirol
Trotz Sanktionen
Prohaskas Analyse
On- und offroad
19 Prozent mehr Gehalt
Zu drastisch
Fall „höchst sensibel“
Viele Ausnahmen, teuer
Kfz-Studie 2024
In Bananenschachteln
krone.tv
Mehr Web
Wie sich Nordkorea heimlich ins Wohnzimmer streamt
Ein Viertel mehr
Videotelefonie lässt Datenvolumen stark steigen
Bitkom-Umfrage:
Soziale Medien wichtige Polit-Informationsquelle
Rat auf Draht:
Immer mehr Erpressung mit Nacktfotos im Netz
Übersetzungen
Write Pro: DeepL führt KI-Sprachassistenten ein
OTTO Gutscheincode
Hol dir den 40 € OTTO Versand Gutschein!
Temu Gutscheincode
Jetzt mit Temu Gutscheincode 100 € sparen!
vidaXL Gutscheincode
Hol dir bis zu 10% Rabatt auf Outdoorprodukte!
Universal Gutschein
Spare jetzt 20 € auf deinen Einkauf!
Shop Apotheke Gutschein
Jetzt 10% auf Schnupfenmittel Nasivin sichern!
Anzeige
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.