Das Gesundheitsministerium ist mit einer Hackinganzeige gegen die Datenschutz-NGO epicenter.works gescheitert, nachdem diese während der CoV-Krise auf eine Sicherheitslücke im Epidemiologischen Meldesystem (EMS) hingewiesen und damit eine Schließung angestoßen hatte. Thomas Lohninger von der NGO forderte heute in einer Pressekonferenz gesetzliche Änderungen. Das Ministerium berief sich auf seine gesetzliche Verpflichtung zur Anzeige.
Der Hinweis auf die Lücke sei 2021 von der Tageszeitung „Der Standard“ gekommen, und tatsächlich sei diese gravierend gewesen, so Lohninger. Millionen an sensiblen Gesundheitsdaten der österreichischen Bevölkerung seien offen zugänglich und auch eintragbar gewesen, und zwar nicht nur Covid-19 betreffend, sondern auch Krankheiten wie HIV und Syphilis. Auch auf das Melderegister inklusive gesperrter Daten habe man dadurch zugreifen können.
Lohninger erklärt Vorgehen
Man sei nach dem Prinzip des „Responsible Disclosure“ vorgegangen, habe also die Lücke verifiziert, die Verantwortlichen informiert und sei erst nach deren Schließung gemeinsam mit der Zeitung an die Öffentlichkeit gegangen. Dennoch sei man vom Gesundheitsministerium nach Paragraf 118a Strafgesetzbuch („widerrechtlicher Zugriff auf ein Computersystem“) angezeigt worden, so Lohninger.
Davon erfahren habe man erst ein Jahr später. Auf ein Schreiben von epicenter.works, doch nicht eine Menschenrechtsorganisation für ihre Arbeit zu verfolgen, habe Gesundheitsminister Johannes Rauch (Grüne) bis heute nicht reagiert. Es seien Kosten von mehr als 15.000 Euro entstanden, um sich gegen die Vorwürfe zu wehren. Erst im Februar 2024 sei das Verfahren schließlich eingestellt worden.
„Da rennt wirklich was ganz gewaltig schief“, sagte Rechtsanwältin Maria Windhager, die die NGO in dieser Causa vertritt. Lohninger warnte vor einer abschreckenden Wirkung auf Sicherheitsforschung und Zivilgesellschaft durch derartige Anzeigen.
Ressort sah sich zu Anzeige „verpflichtet“
„Wenn eine Behörde den Verdacht einer Straftat hat, ist sie gesetzlich zu einer Anzeige an die Staatsanwaltschaft oder an die Kriminalpolizei verpflichtet“, so das Ministerium bezüglich „unbefugter Zugriffe“ auf das betreffende System: „Durch ein späteres Zurückziehen dieser Ermächtigung hätte das Gesundheitsministerium diese gesetzlich normierte Pflicht nicht wahrgenommen.“
Gleichzeitig wurde betont, es habe selbstverständlich kein Motiv gegeben, die Arbeit von epicenter.works zu behindern. Man habe auch selbst die Staatsanwaltschaft darauf hingewiesen, dass die Mehrzahl der von der Datenabfrage betroffenen Personen einen Bezug zum Verein bzw. zum „Standard“ gehabt hätten und es daher möglich sei, dass auf die Daten mit Zustimmung der Betroffenen zugegriffen wurde.
An der Ausarbeitung eines Gesetzesentwurfes für die Straffreiheit bei „Responsible Disclosure“ werde bereits gearbeitet, sagte der grüne Digitalisierungssprecher Süleyman Zorba. Möglich wäre das etwa in Form eines Strafausschließungsgrundes.