Wer an den Massentests in Wien teilnehmen möchte, die von Freitag bis zum 13. Dezember durchgeführt werden sollen, kann sich seit Mittwoch auf "oesterreich-testet.at" anmelden – zumindest wenn die Seite gerade wieder einmal geht, denn sie kämpfte am Mittwoch mit mehreren technischen Problemen: Aufgrund eines Datenlecks wurde sie am Mittwochnachmittag bis in den Abend hinein offline genommen; wenige Stunden zuvor meldete das Gesundheitsministerium Probleme, da es zu DDoS-Angriffen auf den zugehörigen Webserver gekommen sei. Außerdem war zeitweise kein Impressum zu finden, nach Kritik wurde das aber nachgetragen.

Fremde Daten

Nutzer hatten auf sozialen Medien berichtet, dass sie bei dem Versuch, sich anzumelden, auf die Stammdaten anderer Personen gestoßen seien. Auf Twitter behauptet etwa eine Userin, dass ihre Mutter von einer Frau in Oberösterreich angerufen worden sei, die ihre Daten eingesehen habe. Die von der Website eingesammelten Daten sind dabei durchaus sensibel: Neben Name, Geburtsdatum, Geschlecht und voller Adresse wird auch die Sozialversicherungsnummer abgefragt.

Auch wurde der STANDARD von einer Leserin aus Wien kontaktiert, die sich am Mittwochvormittag via Onlinemaske für den freiwilligen Massentest des Bundes registriert hat. Am Abend sei sie allerdings von einer Niederösterreicherin aus dem Bezirk Zwettl angerufen worden. Diese hatte sich ebenfalls für den Antigen-Massentest des Bundes angemeldet – aber im Bestätigungsdokument die persönlichen Daten der Wienerin erhalten. Über die Datenpanne wurde die Wienerin bisher nur von der Niederösterreicherin unterrichtet, die kurzerhand die auf dem Dokument ersichtliche Nummer der Wienerin wählte.

Datenschutzbehörde informiert

Für die technische Umsetzung war die IT-Firma World Direct zuständig. Die Tochter der teilstaatlichen A1 gab zunächst an, dass es sich dabei um Daten eines Testservers handle, der fälschlicherweise auch nach dem Start der Plattform noch im Einsatz gewesen sei. Die Frage, ob es sich bei den entwischten Daten um reale Personendaten gehandelt hat oder nicht, umschiffte man mit dieser Formulierung aber geschickt. Erst fast einen Tag später reagierte man auf die Nachfrage und schaffte Klärung.

Am späten Donnerstagnachmittag bestätigte ein Sprecher von World Direct gegenüber dem STANDARD, dass "in ca. 800 Fällen persönliche Daten fehlerhaft Dritten angezeigt" wurden. Man habe nach den ersten Meldungen aber rasch reagiert und den Fehler nach einer kurzen Auszeit bereinigt. Zudem sei die Datenschutzbehörde über den Vorfall informiert worden, wie es auch gesetzlich vorgeschrieben ist. Außerdem sollen die betroffenen Personen noch im Laufe des 3. 12. eine Information mit der Bitte bekommen, sich für den Massentest neuerlich zu registrieren.

Genau diese Schreiben werden seit dem späten Donnerstagabend tatsächlich an die betroffenen User verschickt. Und damit gibt es auch die Klärung der letzten offenen Frage: Nämlich ob hier wirklich die eingegebenen Daten jener, die sich angemeldet wurden, weitergegeben wurden oder stattdessen Testdaten – wobei es sich sehr wohl auch um echte persönliche Informationen handeln kann – von dem besagten Testserver verschickt wurden. Um diese Frage hatte sich das Statement von World Direct nämlich zunächst gedrückt. Das Schreiben macht aber klar, dass sehr wohl die Daten derer, die sich für die Massentestung angemeldet haben, an Dritte weitergegeben wurden.

Unklare Angaben

Ob die Angabe der sensiblen Daten verpflichtend ist, ist für die Nutzer übrigens nicht auf den ersten Blick ersichtlich. Zwar ist dieses Feld das einzige, dessen Beschreibung keine Kennzeichnung mit einem Stern hat, was üblicherweise heißt, dass die Angabe freiwillig ist. Erklärt wird das auf der Website allerdings nicht.

Der Datenschützer Andreas Krisch weist darauf hin, dass die Datenschutzerklärung der Website mehrere Defizite aufweist: So wird auf der Anmeldeseite die Sozialversicherungsnummer erhoben, die notwendige Rechtsgrundlage werde aber nicht angeführt.

Zeitdruck

Bei den Ursachen für diese Panne gibt man sich ungewohnt offen. "Die Anmeldeseite wurde unter großem Zeitdruck im Laufe des Wochenendes erstellt und auch im Rahmen der zeitlichen Möglichkeiten intensiv getestet", heißt es in einer Mitteilung. Damit spielt man den Ball zurück an die Politik. Bundeskanzler Sebastian Kurz (ÖVP) hat die österreichweiten Tests offenbar auch für die technischen Verantwortlichen recht überraschend Mitte November im Rahmen einer ORF-"Pressestunde" angekündigt.

E-Mail-Server mit Schwächen

Der Eindruck einer überhasteten Entwicklung entsteht auch bei einem Blick auf einen anderen Teil der von "Österreich testet" genutzten Infrastruktur. Zeigen sich doch auch bei der Konfiguration der E-Mail-Server grobe Defizite. So fehlt die Unterstützung für zur Echtheitsüberprüfung genutzte – und weitverbreitete – Standards wie DKIM, DMARC oder SPF. Und das hat konkrete Auswirkungen: Erhöht dies doch die Chancen, dass die Bestätigungs-E-Mails zur Anmeldung im Spamfilter des E-Mail-Clients landen. Das scheint auch bei Nutzern des vielgenutzten Gmail von Google passiert zu sein.

Ebenfalls technisch nicht gerade optimal umgesetzt: Wie mehrere Twitter-Nutzer bemerkt haben, ist es möglich, sich mit denselben Daten mehrfach für eine Untersuchung zu registrieren.

Reaktionen

Die Opposition reagierte mit Hohn: Bundeskanzler Kurz mache aus Sicht von SPÖ-Bundesgeschäftsführer Christian Deutsch das Land "immer mehr zur Lachnummer". Dabei verweist er auf die Corona-Ampel und den Start der Plattform "Kaufhaus Österreich". Auch die FPÖ verweist auf Letztere und findet es unfassbar, dass binnen weniger Stunden eine weitere Panne geliefert wurde. Die Neos orten einen "verantwortungslosen Umgang mit dem Datenschutz". (Muzayen Al-Youssef, Andreas Proschofsky, David Krutzler, 3.12.2020)