Kritische Sicherheitslücken aufgedeckt: Ministerium zeigt NGO an

Der Fall zeigt: Österreich hat großen Aufholbedarf in Sachen IT-Sicherheit

Die Grundrechts-NGO epicenter.works hat eine kritische Sicherheitslücke im Epidemiologischen Meldesystem (EMS) gemeldet und wurde dafür über zwei Jahre lang strafrechtlich verfolgt. Der Fall zeigt, was beim Umgang mit IT-Sicherheit in Österreich fundamental falsch läuft.

ANZEIGE AUS DEM GESUNDHEITSMINISTERIUM FÜR DIE VERANTWORTUNGSVOLLE AUFDECKUNG SCHWERER MÄNGEL

Die durch Sorglosigkeit entstandene Schwachstelle im EMS hat einer unbestimmten Anzahl von Personen über Monate Zugriff auf alle Daten und Eintragungsmöglichkeiten des Systems ermöglicht. Davon waren sensible Gesundheits- und Meldedaten von Millionen Menschen betroffen. Im Dezember 2021 hat epicenter.works diese Sicherheitslücke gemeinsam mit der Tageszeitung Standard entdeckt, den Zuständigen gemeldet und danach wurde medial darüber berichtet. Obwohl dadurch schwerer Schaden für weite Teile der Bevölkerung abgewendet werden konnte, hat das Gesundheitsministerium umgehend Anzeige gegen den Verein wegen Hacking erstattet. Am 16. Februar 2024 wurde das Verfahren schlussendlich eingestellt, u.a. weil weder die notwendige Spionageabsicht noch eine Schädigungsabsicht vorlag.

_Factsheet zum Verfahren_

ABSCHRECKENDE WIRKUNG FÜR MENSCHENRECHTSORGANISATIONEN

Solche Anzeigen haben eine massive abschreckende Wirkung auf Sicherheitsforschung und Zivilgesellschaft. Wenn Menschenrechtsorganisationen vom Ministerium angezeigt werden, können sie ihrer Arbeit für die Gesellschaft nicht mehr uneingeschränkt nachgehen. Wir fragen uns auch, ob die vielen Sicherheitslücken und Datenskandale des Gesundheitsministeriums, die wir in der Pandemie aufgedeckt haben, etwas mit der Anzeige zu tun haben. Ohne der Autorisierung durch das Gesundheitsministerium wäre die Strafverfolgung gegen uns gar nicht möglich gewesen. Unsere Bitte an Gesundheitsminister Rauch blieb bis heute unbeantwortet. Durch das zweijährige Ermittlungsverfahren erwuchsen dem Verein Kosten von rund 15.000 EUR.

Durch solche Klagen werden nicht nur NGOs sondern auch Journalist:innen oder Sicherheitsforscher:innen in ihren Freiheiten massiv beschnitten. Die Angst vor einem Gerichtsverfahren und dem dazugehörigen Kosten- und Zeitaufwand führt dazu, dass sich vor allem gemeinnützige Organisationen in Zukunft wohl zwei mal überlegen, ob sie eine Sicherheitslücke wirklich melden. Dadurch bleiben unsere IT-Systeme insgesamt unsicherer und angreifbarer – v.a. im öffentlichen Bereich mit potenziell verheerenden Folgen.

_Der rechtliche und technische Hintergrund ist hier nachzulesen._

INTERNATIONALE VORBILDER

Dabei gibt es über Österreichs Grenzen hinaus in Ländern wie Litauen oder die Niederlande bereits entsprechende Gesetze, die den moralisch richtigen Umgang mit Sicherheitslücken nach dem Prinzip der „Responsible Disclosure“ fördern und sogar mit Geld belohnen, anstatt wie in Österreich strafrechtlich zu verfolgen. Höchste Zeit für Österreich hier auf den Stand der Zeit zu kommen und die Sicherheit für uns alle dadurch zu erhöhen.

Kontakt für Rückfragen
epicenter.works – for digital rights
presse@epicenter.works
+43 670 404 98 89

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS. www.ots.at
© Copyright APA-OTS Originaltext-Service GmbH und der jeweilige Aussender