E-PaperImmoJobsNewsflix
BedecktWien 12°
Social Media

Coronavirus

Sicherheitslücke bei Apotheken-Tests:Aufdecker gefeuert

Ein IT-Experte und die Datenschutz-NGO "epicenter.works" haben erhebliche Mängel bei der Plattform "Österreich testet" erhoben.

Heute Redaktion
Von Heute Redaktion
Teilen
Aufgrund der hohen Infektionszahlen herrscht in den Test-Labors Hochbetrieb.
Aufgrund der hohen Infektionszahlen herrscht in den Test-Labors Hochbetrieb.
Alessandra Schellnegger / SZ-Photo / picturedesk.com

In einer gemeinsamen Recherche haben "ORF konkret" und die Datenschutz NGO "epicenter.works" am Donnerstag massive IT-Sicherheitslücken in der Website des Gesundheitsministerium zur Organisation von Covid-19 Tests aufgedeckt.

Zugriff auf persönliche Daten möglich

Über das System "Österreich testet", das den Apotheken zum Eintragen der Tests dient, sollen diese monatelang nicht nur Zugriff auf die Ergebnisse der eigenen Kunden, sondern auch auf sämtliche österreichische Testergebnisse und zugehörige persönliche Daten gehabt haben. Über diese Lücke war es offenbar möglich, Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potentiell Hundertausenden Personen in ganz Österreich abzurufen.

Der Webentwickler Gökhan S. hat die Sicherheitslücke entdeckt, als er einen Programmierauftrag für eine Apotheke erledigte, die über "oesterreich-testet.at" Covid-19 Tests anbietet. Er hat die Sicherheitslücke dokumentiert und sich mit der Bitte um dringende Reparatur an das Gesundheitsministerium und den ORF gewandt, heißt es in einer Aussendung der Datenschutz-NGO epicenter.works.

Die Anfrage wurde im Ministerium zuerst ignoriert. Erst als der ORF nachfragte, gab es eine Reaktion. Die Apotheke wurde von "oesterreich-testet.at" ausgeschlossen und beendete daraufhin die Zusammenarbeit mit dem Webentwickler. 

Ministerium sieht keine Sicherheitslücke

Das Gesundheitsministerium wies in einer Stellungname gegenüber dem ORF die Vorwürfe zurück, dass es sich um eine Sicherheitslücke handelt und sprach von einer "widerrechtlichen Verwendung interner Dokumentationssysteme einer einzelnen Apotheke". 

Thomas Lohninger, Geschäftsführer der Datenschutz-NGO epicenter.works, kritisierte das Ministerium. Der Entwickler habe sich "absolut richtig" verhalten – statt Dankbarkeit habe die Reaktion des Ministeriums dazu geführt, dass der Mann seinen Job verloren habe. 

Die Website "oesterreich-testet.at" wird von World Direct, einer 100%igen Tochter von A1, betrieben. Die Erstellung dieses Buchungssystems für Covid-19 Tests kostete eine halbe Million Euro.

A1 verwies auf Anfrage von „konkret“ auf das Ministerium – man habe aber „bereits im Dezember das Portal eingehend überprüft“.

1/57
Gehe zur Galerie
    <strong>19.04.2024: Tragödie bei Sabitzer – Sohn seiner Verlobten tot!</strong>&nbsp;Schreckliche Nachrichten aus Deutschland. Katja Kühne, TV-Star und Verlobte von BVB-Star Marcel Sabitzer, trauert um ihren erwachsenen Sohn Lucas. <a data-li-document-ref="120031870" href="https://www.heute.at/s/tragoedie-bei-sabitzer-sohn-seiner-verlobten-tot-120031870">Die ganze Story hier &gt;&gt;&gt;</a><a data-li-document-ref="120031584" href="https://www.heute.at/s/sexsuechtiger-aus-wien-hatte-seit-2018-keinen-sex-mehr-120031584"></a>
    19.04.2024: Tragödie bei Sabitzer – Sohn seiner Verlobten tot! Schreckliche Nachrichten aus Deutschland. Katja Kühne, TV-Star und Verlobte von BVB-Star Marcel Sabitzer, trauert um ihren erwachsenen Sohn Lucas. Die ganze Story hier >>>
    Sven Hoppe / dpa / picturedesk.com
    Mehr zum Thema
    CoronavirusCoronatestApotheke

    Weiterlesen

    Social Media
    Jetzt Leserreporter werden.
    Für jedes Foto in "Heute" oder jedes Video auf Heute.at gibt es 50 Euro.
    So geht's
    Aktuelles
    Unterhaltsames
    Nützliches
    Externe Angebote
    Topaktuell und direkt in deinem Email-Postfach. Der Heute-Newsletter.
    Jetzt abonnieren