[TinyTimm]

Zitat:

Bei der Anmeldeplattform „Österreich testet“, der Website des Gesundheitsministeriums zur Organisation von Covid-19-Tests, soll es eine massive Sicherheitslücke gegeben haben. Laut „ORF konkret“ und der Datenschutz-NGO „epicenter.works“ hat dadurch eine zugriffsberechtigte Apotheke nicht bloß auf die von ihr durchgeführten Tests Zugriff gehabt, sondern auf die gesamten Daten aller Tests der vergangenen Woc.he. Die Reaktion des Ministeriums nach der Meldung der Lücke sorgt für Kritik

Über die Lücke sei es möglich gewesen, Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail-Adresse und Corona-Testergebnis von potenziell Hunderttausenden Personen in ganz Österreich abzurufen. Laut Thomas Lohninger, Geschäftsführer von epicenter.works, handelte es sich dabei um mehrere Millionen Datensätze.

Meldung über Lücke wurde ignoriert

Entdeckt wurde die Sicherheitslücke von einem von besagter Apotheke beauftragten Web-Entwickler, der diese dokumentierte und sich mit der Bitte um dringende Reparatur an das Gesundheitsministerium und den ORF gewandt habe. Den Datenschützern zufolge ist der Programmierer zunächst ignoriert worden. Erst als der ORF anfragte, habe es eine Reaktion gegeben. Und zwar sei die Apotheke von oesterreich-testet.at ausgeschlossen worden, woraufhin diese das Arbeitsverhältnis mit dem Mann beendete.

Das Gesundheitsministerium habe zunächst abgestritten, dass es sich um eine Sicherheitslücke handelt und sprach von einer „widerrechtlichen Verwendung interner Dokumentationssysteme“ einer einzelnen Apotheke. In derselben Aussage habe das Ministerium aber eingeräumt, dass man die „entsprechende Anpassungen“ vorgenommen habe, „um die internen Dokumentationssysteme noch besser gegen eine etwaige widerrechtliche Verwendung einzelner Teststellen zu schützen“.

Scharfe Kritik an der Reaktion des Ministeriums

Lohninger kritisierte die Vorgehensweise scharf. Statt dem Entdecker der Sicherheitslücke dankbar zu sein, habe das Gesundheitsministerium dafür gesorgt, dass er seinen Job verliert. Dabei habe sich der Webentwickler „absolut richtig“ verhalten.

Von Gesundheitsminister Wolfgang Mückstein fordert epicenter.works-Chef Lohninger eine Entschuldigung bei dem Programmierer.

Der Progammierer habe die Sicherheitslücke dokumentiert und den Verantwortlichen Bescheid gegeben, obwohl das Wissen um diese viel Geld hätte wert sein können. Neben dem Missbrauch der Lücke für Identitätsdiebstahl, Datenhandel oder Erpressung hätte auch das Wissen um die Sicherheitslücke selbst verkauft werden können.

Gesundheitsminister Wolfgang Mückstein (Grüne) sollte sich bei dem Programmierer entschuldigen und „schleunigst“ die IT-Kompetenz in seinem Haus steigern, verlangte Lohninger. Die Website wird von World Direct, einer 100-prozentigen Tochter von A1, betrieben.

oestereich-testet.at kostet fast 190.000 Euro im Monat

Die Erstellung des Buchungssystems für Corona-Tests kostete eine halbe Million Euro und ihren Betrieb lässt sich das Gesundheitsministerium stolze 187.000 Euro pro Monat kosten, wie aus einer parlamentarischen Anfragebeantwortung von Ex-Gesundheitsminister Rudolf Anschober (Grüne) an die NEOS vor rund einem Jahr hervorgeht.

Angesichts dieses lukrativen Staatsauftrags erscheine es nicht nachvollziehbar, wieso das System von A1 keiner Sicherheitsüberprüfung (Penetrationstest) unterzogen wurde, kritisiert Lohninger.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Was für ein Glück für den IT-Experten, das man den Boten schlechter Nachrichten heute nicht mehr töten darf. Wir werden von Idioten regiert.

[MW75]

Ist leider auch in der freien Wirtschaft so, dass der Überbringer der schlechten Nachricht "getötet" oder zumindest aber ignoriert wird. Gerade im IT-Bereich wollen Chefs von vom Firmen-ITler gemeldeten Sicherheitslücken oft nichts wissen. Und wenn das Kind dann in den Brunnen gefallen ist, leiden diese Chefs dann unter einer Teil-Amnesie...sie wissen noch,dass der ITler da mal was gemeldet hat, aber angeblich nichts mehr davon, dass sie selbst die Schließung dieser Lücke abgelehnt haben. Mein Ex-Chef war auch so ´n "Experte".