Wie sicher sind unsere Daten? Alarm um „Österreich testet“
Es geht um hochsensible Daten von hunderttausenden Österreichern. Über die Plattform “Österreich testet” des Gesundheitsministeriums konnten alle teilnehmenden Apotheken auf sämtliche Testdaten der vergangenen sieben Tage zugreifen. Dem Identitätsdiebstahl stand die Türe offen. Das Gesundheitsministerium sieht die Schuld bei den Apotheken.
In den offen zugänglichen Daten enthalten sind Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail-Adresse und Covid-Status. Mit diesen Daten hätte sich dann allerlei Schaden erzeugen lassen, alarmiert die Datenschutz-NGO Epicenter Works.
Für Wirbel sorgt die Reaktion aus dem Mückstein-Ministerium. Als ein Webentwickler das Gesundheitsministerium vor der Sicherheitslücke warnte, wurde diese nicht geschlossen. Stattdessen wurden die betreffenden Apotheken schlicht von “Österreich testet” ausgeschlossen!
Nicht die Software sei das Problem
Eine andere Reaktion habe es erst gegeben, nachdem sich der ORF eingeschaltet habe, berichtet der „Standard“. In einer Stellungnahme betonte das Ministerium zwar weiterhin die eigene Sichtweise, dass nicht die Software das Problem sei, sondern eine “widerrechtliche Verwendung interner Dokumentationssysteme durch eine einzelne Apotheke”. Immerhin räumte man aber ein, selbst “Anpassungen” an der eigenen Software, die solch einen Zugriff unterbinden solle, durchführen zu wollen.
Es soll keinen Datenabfluss gegeben haben
Laut A1-Tochter World Direct, die die Software für die Plattform “Österreich testet” entwickelt, sei es so gewesen, dass Apotheken-Mitarbeiter über eine simple Manipulation auf andere Testzertifikate hätten zugreifen können. Dieses Defizit habe man direkt nach der ersten Information behoben. Vor allem aber wisse man aus den Zugriffsprotokollen, dass keinerlei Datenabfluss auf diesem Weg stattgefunden hat – abgesehen von den Tests jenes Softwareentwicklers, der das Sicherheitsdefizit aufgespürt hat.
Kommentare