Der Entdecker der Schwachstelle wollte eigentlich für eine Apotheke ein einfacheres Eingabesystem für Tests programmieren. Gegenüber dem Konsumentenschutzmagazin „konkret“ sagte der Programmierer, dass ihm dabei aufgefallen sei, dass mit einer kleinen Änderung nicht nur – wie vorgesehen – die Tests der eigenen Filiale, sondern sämtliche Tests der vergangenen sieben Tage in Österreich abrufbar gewesen seien.
Laut epicenter.works gehe es um Millionen Datensätze: Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und CoV-Testergebnis konnten über das System abgerufen werden. Auf dieses haben Apotheken aus dem ganzen Land Zugriff – und damit mehrere tausend Menschen.
Unsauberer Zugriff auf Apotheken-Testdaten
Ein Zuseher berichtete von einem „Datenleck“ bei „Österreich testet“. Als „konkret“ vor knapp zwei Monaten mit den Recherchen zu diesem Fall begann, war nicht klar, wie weitreichend die Folgen sein werden.
Apotheke von Ministerium blockiert
Der Entwickler meldete die Schwachstelle dem Gesundheitsministerium und teilte diese auch dem ORF mit. Das Ministerium reagierte laut dem Entwickler erst nicht – nur auf Nachfrage von „konkret“ kam eine Reaktion: Die Apotheke wurde aus dem System von „Österreich testet“ verbannt, der Entwickler gesperrt – die Apotheke beendete daraufhin die Zusammenarbeit mit ihm.
Ministerium sieht keine Sicherheitslücke
Das Ministerium weist sämtliche Kritik zurück: „Die Einhaltung aller datenschutzrechtlichen Verpflichtungen“ sei „ein besonderes Anliegen“. Auf Anfrage von „konkret“ sieht man kein Sicherheitsproblem: Es handle sich „weder um einen Fehler im System von ‚Österreich testet‘ noch um eine ‚Datensicherheitslücke‘“, heißt es.
Stattdessen sieht man eine „eine widerrechtliche Verwendung interner Dokumentationssysteme“. Die Apotheken seien der „alleinige Datenschutzverantwortliche“ im Rahmen der Testungen, daher sei die Zuständigkeit des Ministeriums „nicht gegeben“.
Gleichzeitig räumte das Ministerium von Wolfgang Mückstein (Grüne) aber auch ein, dass in den vergangenen Wochen „entsprechende Anpassungen vorgenommen“ wurden, „um die internen Dokumentationssysteme noch besser gegen eine etwaige widerrechtliche Verwendung einzelner Teststellen zu schützen“. Unklar ist, ob es einen widerrechtlichen Zugriff auf die Daten gab.
Kritik von epicenter.works
Thomas Lohninger, Geschäftsführer der Datenschutz-NGO epicenter.works, kritisierte das Vorgehen des Ministeriums. Der Entwickler habe sich „absolut richtig“ verhalten – statt Dankbarkeit habe die Reaktion des Ministeriums dazu geführt, dass der Mann seinen Job verloren habe. Er forderte eine Entschuldigung Mücksteins bei dem Mann – und eine Erhöhung der IT-Kompetenz in dem Ministerium.
Das „Österreich testet“-Portal wird von der A1-Tochter World Direct im Auftrag des Ministeriums betrieben. Die Erstellung des Portals kostet rund eine halbe Million Euro, fast 200.000 Euro pro Monat kostet der laufende Betrieb, hieß es vor rund einem Jahr in einer parlamentarischen Anfragebeantwortung.
A1 sieht Apotheke in der Pflicht
A1 verwies auf Anfrage von „konkret“ auf das Ministerium – man habe aber „bereits im Dezember das Portal eingehend überprüft“. Die Apotheke müsse selbst dafür sorgen, „dass von ihr als Teil des Systems keine Manipulationsversuche unternommen werden“, heißt es von dem Unternehmen. Auf eine Anfrage von ORF.at bei der Datenschutzbehörde hieß es, dass bereits mehrere Verfahren im Zusammenhang mit „Österreich testet“ laufen – zum konkreten Fall konnte man keine Angaben machen.