Mit den Zugangsdaten konnte man die sensiblen Daten zu Menschen abrufen, die sich testen ließen. Überdies ließ unter anderem die Qualität der Passwörter zu wünschen übrig. Die Stadt bestätigte der APA die Vorwürfe und hat Maßnahmen gesetzt.
„Der Standard“ hatte einen Tipp über den mangelhaften Umgang mit dem Datenschutz in der Teststraße im Austria Center erhalten. Die Informationen wurden im Rahmen eines Lokalaugenscheins überprüft und bestätigt, hieß es in dem Artikel. So seien die Zugangsdaten neben Computern offen abgelegt und gut lesbar gewesen. Die Passwörter hätten außerdem eine hohe Übereinstimmung mit den Nutzernamen gehabt.
Login auch von außerhalb möglich
Die Zugangsdaten lieferten laut Artikel einen Eintritt in die Web-App der Stadt, in der etwa Adresse und Sozialversicherungsnummer der Getesteten verarbeitet werden. Problematisch sei auch, dass die Passwörter noch nie geändert worden seien und jeder, der schon einmal dort gearbeitet habe, daher Zugriff auf die Daten gehabt habe, zitierte „Der Standard“ den Hinweisgeber. Das System sei im Internet verfügbar, was einen Login auch von außen erlaubt habe – und damit ein Zugriff auf die Daten.
In der Praxis hieß das laut „Standard“: „Mehr als 210.000 Antigentests und mehr als 1.000 PCR-Tests, also sämtliche in der Teststraße erfassten Daten seit November des vergangenen Jahres, konnten mit den Zugangsinformationen ausgelesen werden. Wer sich testen lässt, muss seinen Namen, sein Geburtsdatum, seine Sozialversicherungsnummer, seine Adresse sowie eine Telefonnummer oder eine E-Mail-Adresse angeben. Diese Informationen sind auf der Seite ersichtlich sowie auch das Testergebnis im Fall der mehr als 210.000 Antigentests.“
Auch Download aller Daten bis vor kurzem möglich
Weiters wurde bemängelt, dass der Zugriff ohne Sicherheitsüberprüfung funktioniert habe und die Mitarbeiter in der Teststraße keine personalisierten Accounts gehabt hätten. Weiters habe es laut „Standard“ in der Oberfläche von 21. Jänner bis 22. Jänner am frühen Nachmittag eine Schaltfläche gegeben, die es erlaubt habe, die Daten aller bisher getesteter Personen als Excel-Tabelle herunterzuladen.
224 Neuinfektionen in Wien
Am Dienstag wurden in Österreich 1.241 CoV-Neuinfektionen gemeldet – davon 224 in Wien. Österreichweit gibt es 69 neue Todesfälle in Zusammenhang mit dem Virus, in Wien sind 17 dazugekommen.
Laut Stadt Wien habe es sich dabei um einen Bug gehandelt. Aber auch ohne diesen seien zahlreiche sensible Daten allein schon auf der Oberfläche in der Web-App einsehbar, führte „Der Standard“ weiter aus. Teils seien die Informationen auch kopierbar gewesen.
Passwörter inzwischen geändert
Ein Kritikpunkt betraf auch die Geräte am Standort: Es sei ohne weiteres möglich, einen USB-Stick an die Geräte anzuschließen und Daten abzugreifen. Begründet wurde das laut „Standard“ damit, dass nur so die Drucker betrieben werden könnten. Die Stadt Wien habe nach Kenntnisnahme der „Standard“-Informationen umgehend geprüft, ob es etwa zu Datendiebstählen gekommen sei, sagte ein Sprecher von Gesundheitsstadtrat Peter Hacker (SPÖ) der APA. Gefunden sei nicht geworden: „Uns ist nichts aufgefallen.“
Nach Kenntnisnahme der Datenpanne wurden seitens der Stadt in einem ersten Schritt die Kennwörter in den Teststraßen geändert. Weiters wurde die Zweifaktor-Authentifizierung eingeführt. Dabei muss der Nutzer den Log-In zusätzlich bestätigen, etwa durch einen Code, der per SMS versandt wird.
Zugriff auf Daten nun eingeschränkt
Was den Standort im Austria Center betrifft, so wurden noch weitere Schritte eingeleitet: „Seitens Austria Center Vienna wurde veranlasst, dass die Passwörter geändert werden und ausschließlich ein limitierter Personenkreis Zugang zu den Login-Daten erhält. Die Richtlinie, dass keine Kennwörter neben den Arbeitsplätzen aufliegen dürfen, ist weiterhin aufrecht und wurde nochmals den zuständigen Mitarbeiterinnen und Mitarbeitern kommuniziert“, gab der Sprecher bekannt.
Weiters gibt es eine Änderung bzw. Einschränkung bei der Dateneinsicht: „Die testende Stelle hat nur Zugriff auf die selbst erfassten Daten. Und die Dauer der Datensicht wird auf den aktuellen Tag beschränkt.“ Laut Stadt werden die Zugriffe kontinuierlich protokolliert und stichprobenartig sowie im Anlassfall kontrolliert.
Kritik von Grünen und ÖVP
Postwendend Kritik an der Stadt gab von den Grünen. „Der fehlende Datenschutz für sensible Gesundheitsdaten bei Wiens Corona-Teststraßen ist grob fahrlässig“, ärgerte sich Gemeinderatsmandatarin Barbara Huemer in einer Aussendung. Gesundheitsstadtrat Hacker müssen „für diesen Datenskandal“ die Verantwortung übernehmen und die Stadt müsse „unverzüglich“ das Vertrauen in die Sicherheit der sensiblen Gesundheitsdaten der Menschen wiederherstellen, forderte sie dazu.
Auch die Wiener ÖVP nahm Stadtrat Hacker in die Pflicht. „Wir erwarten, dass die Datensicherheit in den Wiener Teststraßen umgehend auf ein Maximum erhöht wird. Es darf weder die Möglichkeit geben Daten zu kopieren, noch dürfen Passwörter und andere Daten offen herumliegen“, unterstrichen Gesundheitssprecherin Ingrid Korosec und Digitalisierungssprecher Erol Holawatsch in einer Aussendung.