Coronavirus
Sicherheitslücke bei Apotheken-Tests:Aufdecker gefeuert
Ein IT-Experte und die Datenschutz-NGO "epicenter.works" haben erhebliche Mängel bei der Plattform "Österreich testet" erhoben.
In einer gemeinsamen Recherche haben "ORF konkret" und die Datenschutz NGO "epicenter.works" am Donnerstag massive IT-Sicherheitslücken in der Website des Gesundheitsministerium zur Organisation von Covid-19 Tests aufgedeckt.
Zugriff auf persönliche Daten möglich
Über das System "Österreich testet", das den Apotheken zum Eintragen der Tests dient, sollen diese monatelang nicht nur Zugriff auf die Ergebnisse der eigenen Kunden, sondern auch auf sämtliche österreichische Testergebnisse und zugehörige persönliche Daten gehabt haben. Über diese Lücke war es offenbar möglich, Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potentiell Hundertausenden Personen in ganz Österreich abzurufen.
Der Webentwickler Gökhan S. hat die Sicherheitslücke entdeckt, als er einen Programmierauftrag für eine Apotheke erledigte, die über "oesterreich-testet.at" Covid-19 Tests anbietet. Er hat die Sicherheitslücke dokumentiert und sich mit der Bitte um dringende Reparatur an das Gesundheitsministerium und den ORF gewandt, heißt es in einer Aussendung der Datenschutz-NGO epicenter.works.
Die Anfrage wurde im Ministerium zuerst ignoriert. Erst als der ORF nachfragte, gab es eine Reaktion. Die Apotheke wurde von "oesterreich-testet.at" ausgeschlossen und beendete daraufhin die Zusammenarbeit mit dem Webentwickler.
Ministerium sieht keine Sicherheitslücke
Das Gesundheitsministerium wies in einer Stellungname gegenüber dem ORF die Vorwürfe zurück, dass es sich um eine Sicherheitslücke handelt und sprach von einer "widerrechtlichen Verwendung interner Dokumentationssysteme einer einzelnen Apotheke".
Thomas Lohninger, Geschäftsführer der Datenschutz-NGO epicenter.works, kritisierte das Ministerium. Der Entwickler habe sich "absolut richtig" verhalten – statt Dankbarkeit habe die Reaktion des Ministeriums dazu geführt, dass der Mann seinen Job verloren habe.
Die Website "oesterreich-testet.at" wird von World Direct, einer 100%igen Tochter von A1, betrieben. Die Erstellung dieses Buchungssystems für Covid-19 Tests kostete eine halbe Million Euro.
A1 verwies auf Anfrage von „konkret“ auf das Ministerium – man habe aber „bereits im Dezember das Portal eingehend überprüft“.