
Sicherheitslücke im Corona-Register ermöglichte Zugriff auf Tausende Daten
Eine massive Sicherheitslücke im Epidemiologischen Meldesystem (EMS), in das u.a. Positivergebnisse nach Corona-Testungen eingetragen werden, hat die Behörden am Donnerstag in Aufruhr versetzt. Demnach war es Dritten möglich, sensible Gesundheitsdaten einzusehen und falsche Laborergebnisse einzutragen.
Über die Lücke sei es Unbefugten möglich, allen Menschen in Österreich beliebige anzeigepflichtige Krankheiten im EMS einzutragen und im begrenzten Umfang abzufragen, ob jemand in Österreich diese Krankheit bereits hat, so epicenter.works in einer Aussendung. Ein Zugriff auf Daten “aller Bürgerinnen und Bürger durch Dritte” war laut “Standard” möglich, auch die Eintragung fingierter Laborergebnisse. “Die Impfpflicht hätte sich potenziell umgehen lassen.”
Ein Ex-Geschäftsführer der HG Lab Truck, ehemals für das Land Tirol mit PCR-Testungen beauftragt, habe einen EMS-Zugang besessen, der nach seinem Ausscheiden aus dem Unternehmen hätte gesperrt werden müssen, berichtete “Der Standard”. Das sei aber nicht geschehen, außerdem sei dieser Zugang “an eine unbekannte Zahl Dritter” über Subunternehmen weitergegeben worden.
Gesundheitsministerium hat bereits reagiert
“Dieser fortwährende Zugang auf das EMS” ließ sich laut “Standard” belegen. Dadurch sei es ermöglicht worden, gesperrte Adressen aus dem Melderegister abzurufen und zu den Personen beliebige Krankheiten einzutragen. “Erst nachdem das Sicherheitsleck an das Gesundheitsministerium gemeldet worden war, wurde der Zugang gesperrt.”
Bei der beschriebenen Web-Oberfläche handelt es sich nicht um das EMS, sondern eben um ein Tool, mit dem Labore Testergebnisse an die Behörden übermitteln können, betonte das Gesundheitsministerium auf APA-Anfrage. Diese übermittelten Ergebnisse müssten in einem weiteren Schritt durch die Bezirksverwaltungsbehörden bestätigt, bearbeitet und freigegeben werden. Erst dann handle es sich um einen offiziellen Infektionsfall im EMS. Diesen braucht es, um weiter im System geführt zu werden und einen Genesenennachweis zu erhalten.
“Der Anbieter wurde bereits gesperrt und weitere rechtliche Schritte werden derzeit geprüft”, hieß es aus dem Ministerium. Über den angeführten Zugang wurden, seitdem das Unternehmen die Tätigkeiten eingestellt hat, keine Testergebnisse mehr übermittelt. “Es kam daher zu keinem Zeitpunkt zu widerrechtlich ausgestellten Nachweisen.”
Kommentare
Wer glaubt denn überhaupt noch dieses Zahlenchaos, wie auch dieser Regierung. Alles was Corona betrifft, lief von Anfang an falsch, insbesondere die Politik, die nicht imstande war und ist, die Bevölkerung mitzunehmen und laufend durch wahre Informationen glaubhaft zu wirken. Einige Landesregierungen versuchen nun, durch Kampagnen Boden wieder gut zu machen, aber die Bundesregierung dürfte bereits zu viel an Glaubwürdigkeit bei der Bevölkerung eingebüßt haben. Und das wird bis zu nächsten Wahlen auch so bleiben.
Gähn…verschlampte Passwörter wirds immer geben. Das kann man vielleicht umgangssprachlich Sicherheitslücke nennen, das der Zugang nach Ablauf nicht gesperrt wurde ist sicherlich schlecht. Aber der Benutzer hat auch in der Datenbank seinen Fingerabdruck und ich muss nur eine einzige Zeile eingeben um alle Einträge von User X im Zeitraum Y zu löschen, da ist es sogar egal welches Datenbankmodell ich verwende. Vorher sperr ich den User. 2 Befehle, sollte in sekunden machbar sein.
Sicherheitslücke? Diese Daten werden an die BHs weitergegeben, von dort an politische Funktionäre, von dort an Medien. Das ist gewollt, keine Lücke. Die BHs sind Verwaltungsbehörden, die kein Recht auf Gesundheitsdaten haben. Also keine Sicherheitslücke.
Die in unseren Breitengraden regelmäßig auftauchenden “Lücken” sind meist gar keine. Hintertürchen werden über einen kurzen Zeitraum hinweg bewusst offen gelassen um Behörden, Organsisationen, Unternehmen, Medien aber auch Privaten einen Zugang zu vertraulichen Informationen oder Datenmanipulation zu ermöglichen. Auf diese Weise kann man Verstöße gegen die Datenschutzverordnung bequem auf “unbekannte Täter” abwälzen und die Geschädigten können sich brausen, weil sich eine Verletzung der Sorgfaltspflicht oft nur schwer beweisen lässt.
Und wieder hat Tirol – Alles richtig g’macht.
Sind da überhaupt nur noch Idioten am Werk? Das darf doch nicht wahr sein. Damit ist das ganze System unbrauchbar geworden, wenn da beliebig Einträge gemacht worden sind.
Dieser Comic Minister hält doch so viel vom Datenschutz. Da kann doch nichts passieren.
Mückstein – Rücktritt, aber sofort! Kann der nichts richtig machen? Das ist doch Wahnsinn, jede Anwendung , wurscht, ob App oder Portal – alles eine datenschutzrechtliche Bankrotterklärung. Und mit sowas dann Impfpflicht begründen wollen….