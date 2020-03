Ein Datenleck bei der Webseite des Gesundheitsministeriums verrät mehr Informationen, als für die Öffentlichkeit gedacht sind. Grafik: Gesunheitsministerium / Montage: STANDARD

Es ist zweifellos ein äußerst nützlicher Service: Über eine eigene Webseite informiert das Gesundheitsministerium seit Donnerstag über den Stand der Ausbreitung des Coronavirus in Österreich. Doch wie sich schnell herausstellte, wurde bei der Implementation der Seite gepatzt, die Konsequenz: ein Datenleck, über das zahlreiche Details öffentlich zugänglich gemacht wurden.

Datenleck

Mit einigen simplen Befehlen konnte jeder die gesamte hinter der Webseite agierende Datenbank vollständig herunterladen, wie der STANDARD nach Hinweisen von mehreren Lesern selbst überprüfen konnte. Darin enthalten: Details zu einzelnen Fällen. Die ausgewiesenen Kategorien reichten vom Datum der Meldung über das Bundesland und den Bezirk bis zu Geschlecht und Alter einer Person, der Name selbst war nicht ersichtlich. All das versehen mit einer eindeutigen ID. Auch ob ein einzelner Fall gerade hospitalisiert oder gar auf der Intensivstation ist, ließ sich auf diese Weise herausfinden.

Ein Ausschnitt aus dem Datensatz. Anmerkung: Einige der Dateneinträge wurden vom STANDARD unkenntlich gemacht (alle, die mit xxx ausgewiesen sind). Screenshot: STANDARD

Dass dieser Datensatz potenziell problematisch ist, dürfte den Entwicklern durchaus bewusst gewesen sein. Einzelne Kategorien wie "tot", "geheilt" oder "aktiv" wurden vor der Veröffentlichung aus der Datenbank entfernt. Auch die Angaben zum Standort wurden auf den jeweiligen Bezirk beschränkt. Trotzdem geht dies über das Ziel der Seite – der aggregierte Überblick über den Ausbreitungsstand – hinaus.

Parlamentarische Anfrage

Ein Beispiel: Auf der Liste sind auch Bezirke mit unter 2.500 Einwohnern. Durch Informationen wie dem Alter und dem Geschlecht könnten Rückschlüsse auf die Identität gezogen werden.

Kritik gibt es von der Neos – Niki Scherak, stellvertretender Klubobmann der Partei kündigt eine parlamentarische Anfrage an. "Es ist offensichtlich, dass man hier Rückschlüsse ziehen kann", sagt er. "Auch in solchen Zeiten muss man beim Datenschutz aufpassen." Schließlich ginge es um den höchstpersönlichen Lebensbereich. "Gerade in solchen Zeiten, in denen die Regierung so viel Macht hat – so wichtig das ist – müssen wir auf Freiheitsrechte achten", sagt Scherak zum STANDARD.

Keine Überraschung

Dass dieses Datenleck so schnell aufflog, ist ebenfalls leicht erklärbar: Das vom Gesundheitsministerium genutzte Tool, Grafana, funktioniert nämlich schlicht so. Es ist zur Visualierung einzelner Highlights aus einer größeren Datenbank gedacht. Macht man so einen Service öffentlich zugänglich, ist es unvermeidlich, dass auch auf die Datenbank im Hintergrund zugegriffen werden kann. Aus ebendiesem Grund ist es eigentlich nur für interne Zwecke gedacht – und nicht für öffentliche Webseiten.

Reaktion

Beim Gesundheitsministerium reagierte man auf eine Anfrage des STANDARD am Donnerstagnachmittag zunächst noch gelassen. Diese Daten seien unproblematisch. Einige Stunden später wurde die Seite aber entfernt. Statt einer interaktiven Webpage gibt es seitdem nur mehr einen Screenshot der Daten zu sehen.

Auf Anfrage am Freitagvormittag heißt es, dass dies aus technischen Gründen geschehen sei — die Zugriffe auf der Webseite seien enorm hoch, weshalb sie überlastet sei. Daher habe man sich vorübergehend entschieden, einen Screenshot anzubieten, der jede halbe Stunde aktualisiert wird. (Muzayen Al-Youssef, Andreas Proschofsky, 20.3.2020)