Massive Sicherheitslücke in oesterreich-testet.at aufgedeckt. Gesundheitsministerium attackiert Sicherheitsforscher.
In einer gemeinsamen Recherche decken ORF konkret und die Datenschutz NGO epicenter.works heute massive IT-Sicherheitslücken in der Website des Gesundheitsministerium zur Organisation von Covid-19 Tests auf. Dabei handelt es sich um die trivialste aller Sicherheitslücken, eine zugriffsberechtigte Apotheke hat nicht nur die Möglichkeit die personenbezogenen Daten der Tests abzurufen, die sie selbst durchgeführt hat, sondern kann auch auf die Daten aller Tests der letzten 7 Tage in ganz Österreich zugreifen. Über diese Lücke ist es möglich Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potentiell hundertausenden Personen in ganz Österreich abzurufen.
Der Webentwickler Gökhan S. hat die Sicherheitslücke entdeckt, als er einen Programmierauftrag für eine Apotheke erledigte, die über oesterreich-testet.at Covid-19 Tests anbietet. Er hat die Sicherheitslücke dokumentiert und sich mit der Bitte um dringende Reparatur an das Gesundheitsministerium und den ORF gewandt. Das Ministerium hat Herrn S. zuerst ignoriert. Erst als der ORF in der Sache beim Ministerium nachfragte, gab es eine Reaktion. Die Apotheke wurde von oesterreich-testet.at ausgeschlossen und in der Folge beendete die Apotheke das Arbeitsverhältnis mit Herrn S.. Das Gesundheitsministerium hat in seiner Stellungnahme gegenüber dem ORF abgestritten, dass es sich um eine Sicherheitslücke handelt und sprach von einer "widerrechtlichen Verwendung interner Dokumentationssysteme einer einzelnen Apotheken (sic!)".11 In der selben Reaktion des Ministeriums wurde jedoch auch behauptet, man habe die Sicherheitslücke geschlossen: "In den vergangenen Wochen wurden entsprechende Anpassungen vorgenommen, um die internen Dokumentationssysteme noch besser gegen eine etwaige widerrechtliche Verwendung einzelner Teststellen zu schützen". Über andere Kanäle konnte epicenter.works das Beheben des Problems im Vorfeld dieser Veröffentlichung ebenfalls bestätigen.
"oesterreich-testet.at funktionierte so wie ein Bankomat, bei dem man zwar eine Bankomatkarte und einen PIN Code braucht, aber dann Geld von beliebigen Konten abheben könnte. Die Erklärung des Ministeriums ist in dem Beispiel so zu verstehen, als ob man auf die Kameras des Bankomaten und bestehende Gesetze verweist, die Missbrauch hätten verhindern können. Ich verstehe nicht, wie eine so triviale Sicherheitslücke so lange niemandem aufgefallen ist", so Thomas Lohninger Geschäftsführer von epicenter.works.
Statt Dank hagelte es Angriffe
"Gesundheitsminister Mückstein sollte sich bei Herrn Gökhan S. entschuldigen und schleunigst die IT-Kompetenz in seinem Haus steigern, bevor das Vertrauen der Bevölkerung restlos verloren geht", so Lohninger.
Teuerster Anfängerfehler auf Steuerkosten
Die Website oesterreich-testet.at wird von World Direct, einer 100%igen Tochter von A1, betrieben. Die Erstellung dieses Buchungssystems für Covid-19 Tests kostete eine halbe Million Euro und ihren Betrieb lässt sich das Gesundheitsministerium stolze 187.000 Euro pro Monat kosten . Angesichts dieses lukrativen Staatsauftrags, erscheint es nicht nachvollziehbar, wieso das System von A1 keiner Sicherheitsüberprüfung (Penetrationstest) unterzogen wurde. Da oesterreich-testet.at die sensiblen Gesundheitsdaten von Millionen Menschen verarbeitet, wäre laut DSGVO auch eine Datenschutzfolgeabschätzung zwingend vorgeschrieben gewesen. Auch in diesem Schritt einer systematischen Risikobewertung hätte der Fehler sofort auffallen müssen.
Erst kürzlich hat Gesundheitsminister Mückstein, nachdem wir mit "der Standard" den EMS Datenskandal aufgedeckt haben, die Bedeutung des Datenschutzes in der Pandemie hervorgehoben. Weder wurde die von uns damals aufgedeckte Lücke bisher geschlossen, noch kam es zu einer Überprüfung, ob durch das EMS Daten abgeflossen oder manipuliert wurden. Mit diesem neuen Skandal bekommt Gesundheitsminister Mückstein neuerlich die Chance für Aufklärung zu sorgen. Bei oesterreich-testet.at gibt es - anders als beim EMS - zwar keine gesetzlich vorgeschriebenen Zugriffsprotokolle, trotzdem sollte nun alles an eine transparente Aufklärung gesetzt werden.
1 1 Sic! Wikipedia https://de.wikipedia.org/wiki/Sic.
Da du hier bist!
… haben wir eine Bitte an dich. Du möchtest der Regierung auf die Finger schauen? Möchtest du immer auf dem neuesten Stand sein zu Überwachung, Datenschutz, Netzneutralität, und allen Themen, die unsere Grund- und Freiheitsrechte im Netz betreffen? Abonniere unseren Newsletter und wir informieren dich etwa einmal im Monat über das netzpolitische Geschehen in Österreich und Europa, unsere Aktionen, juristischen Analysen und Positionspapiere.
Gemeinsam verteidigen wir unsere Grund- und Freiheitsrechte im digitalen Zeitalter, denn Zivilgesellschaft wirkt! Bleib informiert!
