Ministerium scheiterte mit Hacking-Vorwurf gegen Daten-NGO

Lesedauer beträgt 4 Minuten
Autor: Scho

Das Gesundheitsministerium ist mit einer Hacking-Anzeige gegen die Datenschutz-NGO epicenter.works gescheitert, nachdem diese während der Corona-Krise auf eine Sicherheitslücke im Epidemiologischen Meldesystem (EMS) hingewiesen und damit eine Schließung angestoßen hatte. Thomas Lohninger von der NGO forderte in einer Pressekonferenz gesetzliche Änderungen. Das Ministerium berief sich auf seine gesetzliche Verpflichtung zur Anzeige.

Der Hinweis auf die Lücke sei 2021 von der Tageszeitung „Der Standard“ gekommen, und tatsächlich sei diese gravierend gewesen, so Lohninger. Millionen an sensiblen Gesundheitsdaten der österreichischen Bevölkerung seien offen zugänglich und auch eintragbar gewesen, und zwar nicht nur Covid-19 betreffend, sondern auch Krankheiten wie HIV oder Syphilis. Auch auf das Melderegister inklusive gesperrter Daten habe man dadurch zugreifen können.

Man sei nach dem Prinzip des „Responsible Disclosure“ vorgegangen, habe also die Lücke verifiziert, die Verantwortlichen informiert und sei erst nach deren Schließung gemeinsam mit der Zeitung an die Öffentlichkeit gegangen. Dennoch sei man vom Gesundheitsministerium nach Paragraf 118a des Strafgesetzbuchs („widerrechtlicher Zugriff auf ein Computersystem“) angezeigt worden, so Lohninger.

Davon erfahren habe man erst ein Jahr später. Auf ein Schreiben von epicenter.works, doch nicht eine Menschenrechtsorganisation für ihre Arbeit zu verfolgen, habe Gesundheitsminister Johannes Rauch (Grüne) bis heute nicht reagiert. Es seien Kosten von mehr als 15.000 Euro entstanden, um sich gegen die Vorwürfe zu wehren. Erst im Februar 2024 sei das Verfahren schlussendlich eingestellt worden.

„Da rennt wirklich was ganz gewaltig schief“, meinte auch Rechtsanwältin Maria Windhager, die die NGO in dieser Causa vertritt. Es handle sich um ein Ermächtigungsdelikt, doch die Frage sei auch aus der Sicht der Staatsanwaltschaft, wer die Ermächtigung für die Verfolgung überhaupt erteilen könne und ob das nicht nur von der Lücke Betroffene sein können. Auch darauf habe epicenter.works Rücksicht genommen und nur Daten von Personen abgefragt, die man gekannt habe und die die Ermächtigung dazu erteilt hatten. Zudem sei es klar im überwiegend öffentlichen Interesse, solche Sicherheitslücken zu schließen, so die Anwältin.

Lohninger warnte vor einer abschreckenden Wirkung auf Sicherheitsforschung und Zivilgesellschaft durch derartige Anzeigen. Dennoch: „Wir würden das wieder machen.“ In Ländern wie Litauen oder den Niederlanden existierten bereits entsprechende Gesetze, die den moralisch richtigen Umgang mit Sicherheitslücken nach dem Prinzip der „Responsible Disclosure“ förderten und sogar mit Geld belohnten, anstatt wie in Österreich strafrechtlich zu verfolgen, forderte er gesetzliche Änderungen ein. Am 1. Mai ende das Begutachtungsverfahren zum Netz- und Informationssystemsicherheitsgesetz (NISG 2024), in dem Österreich trotz EU-Empfehlung dieses Problem nicht löse, verwies er auf eine kritische Begutachtungsstellungnahme seiner Organisation.

„Gesetzlich zu einer Anzeige (…) verpflichtet“

Das Gesundheitsministerium rechtfertigte in einer schriftlichen Stellungnahme an die APA seine Vorgehensweise. „Wenn eine Behörde den Verdacht einer Straftat hat, ist sie gesetzlich zu einer Anzeige an die Staatsanwaltschaft oder an die Kriminalpolizei verpflichtet“, hieß es darin bezüglich „unbefugter Zugriffe“ auf das betreffende System: „Durch ein späteres Zurückziehen dieser Ermächtigung hätte das Gesundheitsministerium diese gesetzlich normierte Pflicht nicht wahrgenommen.“

Gleichzeitig wurde aber betont, es habe selbstverständlich kein Motiv gegeben, die Arbeit von epicenter.works zu behindern. Man habe auch selbst die Staatsanwaltschaft darauf hingewiesen, dass die Mehrzahl der von der Datenabfrage betroffenen Personen einen Bezug zum Verein bzw. zum „Standard“ gehabt hätten und es daher möglich sei, dass auf die Daten mit Zustimmung der Betroffenen zugegriffen wurde. „Kontrolle ist wichtig in unserer Demokratie. Das gilt vor allem, wenn es um den Schutz von Gesundheitsdaten geht. NGOs wie epicenter.works leisten mit ihrer Arbeit hierfür einen wichtigen Beitrag“, so das Ministerium.

Die Partei von Gesundheitsminister Johannes Rauch sprach sich am Dienstag für eine rasche Gesetzesänderung aus. An der Ausarbeitung eines Gesetzesentwurfes für die Straffreiheit bei „responsible disclosure“ werde bereits gearbeitet, erklärte der Grüne Digitalisierungssprecher, Süleyman Zorba, in einer Aussendung. Möglich wäre die dies etwa in Form eines Strafausschließungsgrundes. „Gerade in Anbetracht zunehmender Digitalisierung können wir jede zivilgesellschaftliche Unterstützung brauchen“, so Zorba.

(APA/red.)

Diese Artikel könnten Sie auch interessieren:

ChatGPT bei Diagnose in der Notaufnahme so gut wie Ärzte

ChatGPT bei Diagnose in der Notaufnahme so gut wie Ärzte

Bei den Ärzten fand sich die richtige Diagnose in 87 Prozent der Fälle unter den fünf Vorschlägen, bei der ChatGPT-Version 3.5 sogar in 97 Prozent der Fälle. Der Chatbot hat aber auch einige Schwächen gezeigt.

Gustave Roussy erneuert TrialMaster EDC-Vereinbarung mit Anju Software

Gustave Roussy erneuert TrialMaster EDC-Vereinbarung mit Anju Software

Eine der weltweit führenden Kliniken für Krebsforschung setzt seit fünf Jahren erfolgreich auf eine Plattform zur Verwaltung klinischer Daten, die eine Vielzahl von Studiendesigns unterstützt

Cochlea-Implantat als Sensor

Cochlea-Implantat als Sensor

Das Cochlea-Implantat (CI) ist die erfolgreichste Neuroprothese weltweit. Dank der direkten Stimulation des Hörnervs ermöglicht es mehr als einer halben Million Menschen weltweit das Hören, obwohl die Betroffenen ertaubt oder taub geboren sind.