Heute veröffentlichen der Standard und epicenter.works Informationen über gravierende Sicherheitsmängel im Gesundheitsministerium. Über eine Lücke ist es Unbefugten möglich, allen Menschen in Österreich beliebige anzeigepflichtige Krankheiten, wie AIDS, Syphilis oder Covid-19 im Epidemiologischen Meldesystem (EMS) einzutragen und im begrenzten Umfang abzufragen, ob jemand in Österreich diese Krankheit bereits hat. Auch kann auf das komplette Zentrale Melderegister in Österreich zugegriffen werden. Dies auch bei Personen, die ihre Privatadresse dort gesperrt haben. In einem Video belegen wir, wie einfach der Zugriff auf das System von jedem beliebigen Rechner aus möglich ist. Es müssen somit ernsthafte Zweifel an der Qualität der Daten gehegt werden, die auch für das automatisierte Versenden von Verwaltungsstrafen im Rahmen der Impfpflicht herangezogen werden sollen. Vor der heutigen Veröffentlichung wurde dem Gesundheitsministerium Zeit gegeben diese Lücke zu schließen und mit der Aufarbeitung des Datenskandals zu beginnen. epicenter.works stellt ein Auskunftsformular zur Verfügung, über das man nachfragen kann, ob die eigenen Daten betroffen sind.

Für das EMS verantwortlich ist der Gesundheitsminister, aktuell Wolfgang Mückstein. Laut § 4 Abs. 9 Epidemiegesetz hat er sicherzustellen, dass nur identifizierte Personen auf das EMS zugreifen können und dem Stand der Technik entsprechende Vorkehrungen gegen unbefugtes Verändern oder Abfragen des Registers eingehalten werden. Wir können aber anhand des Tiroler Labors "HG Lab Truck" belegen, dass mit einem simplen client-side -Zertifikats von beliebigen Internetadressen über jeden Webbrowser ohne Eingabe eines Benutzernamen oder Passworts auf das EMS zugegriffen werden kann. Laut Aussage des Gesundheitsministeriums sind 225 dieser client-side-Zertifikate derzeit im Umlauf. Jedoch wissen wir nicht, auf wie vielen Rechnern diese verwendet werden. Der Grund dafür scheint zu sein, dass in der 2. und 3. Welle der Pandemie von November 2020 bis März 2021 die hohe Anzahl an Covid-19-Positivtestungen zu einem Rückstau bei den Eintragungen der Labore ins EMS geführt hat. Nur positive Fälle, die bis 12 Uhr mittags im EMS eingetragen sind, werden in der täglichen Corona-Statistik berücksichtigt, die sodann breit in den Medien berichtet wird und auf der auch die Corona-Maßnahmen beruhen.

Im Fall der "HG Lab Truck" wurde die Dateneingabe aufgrund dieses Rückstaus an ein externes Unternehmen ausgelagert. In der Folge hatten Arbeitskräfte, die weder ordentlich geschult waren noch eine Datenschutz-Verschwiegenheitserklärung unterschrieben hatten, Zugriff auf das EMS. Diese Arbeitskräfte bekamen im Rahmen ihrer Tätigkeit per unverschlüsselter E-Mail das client-side-Zertifikat für den Zugriff auf das EMS und Excel-Dateien mit den vollständigen Daten der positiv auf Corona getesteten Personen zugeschickt, die sie auf ihren Privatrechnern ins EMS eintragen sollten. Auch nachdem die "HG Lab Truck" im Juli 2021 den Auftrag für die Testungen in Tirol verlor und dort noch bis 30. Oktober 2021 im Auftrag des Wirtschaftsministerium tätig war, blieb der EMS-Zugang der Arbeitskräfte bis diese Woche aufrecht. Auch hat der ehemalige Chef des Unternehmens inzwischen seine Zulassung als Arzt verloren hat und ist seit Juli nicht mehr für die "HG Lab Truck" tätig. Dennoch ist er nach wie vor im System als medizinisch Verantwortlicher angeführt.

Datenklau, Erpressung und Hintertüren zur Impfpflicht

Die Missbrauchsszenarien in diesem Fall sind erschreckend: Unter Angabe von Name, Geburtsdatum und Geschlecht ist der Zugriff auf die private Adresse – und im Fall von Corona-positiven Menschen über das Contact Tracing auch deren Telefonnummer und E-Mail - möglich. Das betrifft auch im ZMR gesperrten Personen, etwa aus Justiz, Medien oder Politik, die aus gutem Grund ihre persönliche Adresse geheim halten wollen. Alle bisherigen Meldungen von Erkrankungen desselben Labors können zur Gänze eingesehen werden. Bei der versuchten Meldung einer Krankheit wird angezeigt, ob für diese Person bereits dieselbe Krankheit in einem gewissen Zeitfenster eingetragen war. Dadurch wäre es beispielsweise möglich herauszufinden, ob eine beliebige, in der Öffentlichkeit stehende Person in diesem Zeifenster mit einer meldepflichtigen Krankheit wie Tripper, Syphilis, AIDS oder Covid-19 infiziert war. Gerade bei Menschen des öffentlichen Lebens wäre damit eine Erpressung denkbar. Jedenfalls aber wären ihre sensiblen Gesundheitsdaten in falschen Händen.

Mit ein paar weiteren Klicks und Eingaben im Formular könnte einer Person eine meldepflichtige Krankheit eingetragen werden. Laut Informationen des Gesundheitsministeriums ist die Gesundheitsbehörde in der Bezirkshauptmannschaft zwar verpflichtet, diese Labormeldungen noch manuell zu prüfen, bevor z.B. im Fall von Covid-19 ein Genesungszertifikat oder ein Absonderungsbescheid ausgestellt wird. Jedoch ist es fraglich, was diese manuelle Prüfung bei einem großen Fallaufkommen und der bereits aufgetretenen Überlastung der Gesundheitsämter genau umfasst. Sollte es dort lediglich zu oberflächlichen Prüfung kommen, hätte die betroffene Person zwar eine Quarantäneauflage, jedoch wäre dies auch eine Hintertür für die Umgehung der Impfpflicht gemäß dem derzeit im Begutachtung befindlichen Gesetz und wohl eine illegale Nebenerwerbsmöglichkeit für jene, die dieses client-side-Zertifikat besitzen. Unklar ist auch welche Schritte vom Gesundheitsamt bei Labormeldungen von anderen meldepflichtigen Krankheiten abseits von Corona gesetzt werden.

Regelfall oder Ausreißer

Wir wissen noch nicht, ob die "HG Lab Truck" mit dieser weiten Verbreitung ihres client-side-Zertifikats der absolute Ausreißer war oder es auch noch andere Labore gibt, die genauso freizügig mit ihrem Zugriff auf das EMS umgegangen sind. Allerdings standen viele Labore im Laufe der Pandemie vor demselben Problem, täglich eine enorme Anzahl an positiven Corona-Fällen in das EMS eintragen zu müssen. Es ist denkbar, dass deren  Dateneingabe an Dritte ausgelagert wurde und diese Dritten nicht sorgsam mit dem Schlüssel zum EMS umgegangen sind. Das Gesundheitsministerium steht auf dem Standpunkt, dass die Labore aufgrund ihrer Geheimhaltungsverpflichtungen und medizinischen Schweigepflicht selbst dafür verantwortlich sind, nichts Unrechtes mit dem EMS oder ZMR zu tun. Trotzdem gibt es seit ca. April diesen Jahres die Anordnung, Covid-Fälle nur noch über eine neu geschaffene Programmierschnittstelle (API) und nicht mehr händisch über das Webinterface einzutragen. Laut § 3 Abs. 5 Labormeldeverordnung wäre eine Weitergabe des Zertifikats immer schon unzulässig gewesen.

Was jetzt passieren müsste

Die Aufarbeitung dieses Datenskandals hat gerade erst begonnen. Wir haben das Gesundheitsministerium natürlich vorab über diese Lücke informiert und die Möglichkeit zur Reperatur und Stellungnahme gegeben. In Teilen wurden unsere Bedenken auch bereits ausgeräumt, jedoch bleiben noch einige Probleme übrig. Die schwierigste Frage ist, ob es zu einer systematischen oder großflächigen Verfälschung des Datenbestands im EMS kam. Mit der geplanten Impfpflicht sollen automatisierte Verwaltungsstrafen für Ungeimpfte ausgestellt werden. Im EMS eingetragene Covid-19-Infektionen sind zwar nur die Ausnahme von dieser Strafe - und das auch erst nach einer Freischaltung durch die Gesundheitsämter in den Bezirksverwaltungsbehörden -, aber die Frage nach der Qualität der Daten im EMS bleibt. Wer sich selbst ein klares Bild über die eigenen Daten machen will, für den bieten wir hier ein Datenschutzauskunftsformular an, um diese aus dem EMS abzufragen.

Das Gute am EMS ist die vollständige Protokollierung der Zugriffe darauf. Anhand dieser Logdateien sollte es möglich sein herauszufinden, ob es zu einem Abfluss von Daten - und somit zu einem "Data Breach" - kam. Sollte dies der Fall sein,  besteht eine Informationspflicht an die Datenschutzbehörde und unter Umständen auch an die Betroffenen selbst. Das Ministerium hat präventiv bereits eine solche Meldung an die Datenschutzbehörde vorgenommen, obwohl man weiterhin abstreitet, das es zu einem Data Breach gekommen ist. Eine Logfile-Analyse durch eine vertrauenswürdige Stelle ist uns seitens des Ministeriums bereits in Aussicht gestellt worden. Sie sollte auch Aufschluss darüber geben, wie viele IP-Adressen pro Zertifikat auf das EMS zugegriffen haben. Genau diese Zahl wollte uns das Ministerium bisher trotz Nachfrage nicht nennen. Anhand dessen müsste jedoch ein etwaiger Schaden gut beziffert werden können. Künftig wäre es jedoch sinnvoll, alle zugriffsberechtigten Personen direkt zu identifizieren und nicht pauschal alle unter einem Labor zusammen zu fassen. Als Sofortmaßnahme sollten client-side-Zertifikate nur noch aus zugriffsberechtigten IP-Adressen (Laborstandort) verwendbar sein. Eine Neuordnung des EMS ist laut Angaben des Gesundheitsministeriums geplant und soll angeblich nächstes Jahr bereits abgeschlossen sein.

Da du hier bist!

… haben wir eine Bitte an dich. Du möchtest der Regierung auf die Finger schauen? Möchtest du immer auf dem neuesten Stand sein zu Überwachung, Datenschutz, Netzneutralität, und allen Themen, die unsere Grund- und Freiheitsrechte im Netz betreffen? Abonniere unseren Newsletter und wir informieren dich etwa einmal im Monat über das netzpolitische Geschehen in Österreich und Europa, unsere Aktionen, juristischen Analysen und Positionspapiere.

Gemeinsam verteidigen wir unsere Grund- und Freiheitsrechte im digitalen Zeitalter, denn Zivilgesellschaft wirkt! Bleib informiert!

Ähnliche Artikel: