Anzeige aus dem Gesundheitsministerium für die verantwortungsvolle Aufdeckung schwerer Mängel

Die durch Sorglosigkeit entstandene Schwachstelle im EMS hat einer unbestimmten Anzahl von Personen über Monate Zugriff auf alle Daten und Eintragungsmöglichkeiten des Systems ermöglicht. Davon waren sensible Gesundheits- und Meldedaten von Millionen Menschen betroffen. Im Dezember 2021 hat epicenter.works diese Sicherheitslücke gemeinsam mit der Tageszeitung derStandard entdeckt, den Zuständigen gemeldet und danach wurde medial darüber berichtet. Obwohl dadurch schwerer Schaden für weite Teile der Bevölkerung abgewendet werden konnte, hat das Gesundheitsministerium unter dem damaligen Minister Mückstein umgehend Anzeige gegen den Verein wegen Hacking erstattet. Ohne der Ermächtigung zur Strafverfolgung hätte man kein Ermittlungsverfahren gegen uns einleiten können. Trotz unserer Bitte an Gesundheitsminister Rauch, hat er diese Autorisierung bis zuletzt nicht zurückgezogen und uns bis heute nicht auf unseren Brief geantwortet.

Für das Delikt des Hackings (§ 118a StGB) drohen bis zu 2 Jahren Freiheitsstrafe. Über die Anzeige gegen uns wurden wir erst mit einem Jahr Verspätung informiert. Am 16. Februar 2024 wurde das Verfahren schlussendlich eingestellt, u.a. weil weder die notwendige Spionageabsicht noch eine Schädigungsabsicht vorlag. Trotz Einstellung erwuchsen uns durch das zweijährige Ermittlungsverfahren Kosten von rund 15.000 EUR.

Fälle wie dieser haben eine abschreckende Wirkung für Zivilgesellschaft, Journalist:innen und Sicherheitsforschung. Die Angst vor einem Gerichtsverfahren und dem dazugehörigen Kosten- und Zeitaufwand führt dazu, dass sich vor allem gemeinnützige Organisationen in Zukunft wohl zwei mal überlegen, ob sie eine Sicherheitslücke wirklich melden. Dadurch bleiben unsere IT-Systeme insgesamt unsicherer und angreifbarer v.a. im öffentlichen Bereich mit potenziell verheerenden Folgen.

Wir haben gemeinsam mit unserer anwaltlichen Vertretung in der Sache, Maria Windhager, sowie IT-Sicherheitsexperte von Cert.at, Otmar Lendl, eine Pressekonferenz abgehalten, um über unseren Fall und den rechtlichen Aufholbedarf in Österreich aufzuklären.

IT-Sicherheitsforschung braucht rechtliche Absicherung

Gerade im Zeitalter von steigenden IT-Attacken auf Einzelpersonen, Unternehmen aller Größen oder ganze Bundesländer (Fall Kärnten) sollte das Auffinden und Schließen von Sicherheitslücken oberste Priorität haben. Um solche Schwachstellen aufzudecken, müssen Sicherheitsforscher:innen aber dieselben Methoden und Werkzeuge wie Kriminelle verwenden. Wenn ein Schlosser versucht die Sicherheit eines Schlosses zu bewerten, versucht er es auch ohne Schlüssel zu öffnen.

Wer heute in Österreich Sicherheitslücken an den Staat meldet, riskiert Strafverfolgung und sogar Freiheitsstrafen. Damit schaffen wir Anreize, dieses Wissen für sich zu behalten oder schlimmsten Fall sogar kriminell auszunutzen. Statt schweren Strafdrohungen braucht es deshalb dringend eine explizite rechtliche Ausnahme für den moralisch richtigen Umgang mit Sicherheitslücken nach dem Prinzip der „responsible disclosure“.

Internationale Vorbilder – Was kann Österreich tun?

Mit dieser Forderung sind wir nicht allein, auch die EU-Behörde für IT-Sicherheit (ENISA) spricht sich dafür aus. Länder wie Litauen oder die Niederlande haben den Mehrwert der Sicherheitsforschung für die Allgemeinheit bereits erkannt und entsprechende Gesetze erlassen. Viele Staaten haben auch bereits das Konzept der „Bug Bounty“-Programme etabliert, indem symbolische Geldbeträge für das Melden von Sicherheitslücken bezahlt werden. Solche Programme sind auch kostengünstiger als privatwirtschaftliche IT-Überprüfungen von Systemen. Mit ständig wachsenden hybriden Bedrohungslagen, wäre es höchste Zeit für Österreich endlich auf den Stand der Zeit zu kommen.

Am 1. Mai 2024 endete das Begutachtungsverfahren des NIS2 Gesetzes, in dem Österreich trotz EU-Empfehlung dieses Problem nicht löst. Hier ist unsere juristische Stellungnahme.

Update 10. Mai 2024

Gesundheitsminister Rauch begründete die Anzeige im Nachhinein mit einer gesetzlichen Pflicht aufgrund des Verdachts auf eine Straftat. Daher sei es auch nicht möglich gewesen, die Anzeige gegen uns zurückzuziehen. Uns erscheint dieses Argument sehr fragwürdig. Denn in diesem Fall hätte unserer Ansicht nach auch „derStandard“ angezeigt werden müssen. Wir haben beide dieselben Informationen veröffentlicht aber lediglich unser Verein wurde angezeigt. Bis heute bekamen wir keine Antwort von Gesundheitsminister Rauch auf unseren Brief.