Foto: APA/EXPA/FLORIAN SCHROETTER

Wer an den Massentests in Wien teilnehmen möchte, die von Freitag bis zum 13. Dezember durchgeführt werden sollen, kann sich seit Mittwoch bei oesterreich-testet.at anmelden – zumindest wenn die Seite gerade wieder einmal geht, denn sie kämpfte am Mittwoch mit mehreren technischen Problemen: Aufgrund eines möglichen Datenlecks wurde sie am Mittwochnachmittag bis in den Abend offline genommen, wenige Stunden zuvor meldete das Gesundheitsministerium Probleme, da es zu DDoS-Angriffen auf den zugehörigen Webserver gekommen sei. Außerdem war zeitweise kein Impressum zu finden, nach Kritik wurde das aber nachgetragen.

Vorfall

Nutzer hatten auf sozialen Medien berichtet, dass sie bei dem Versuch, sich anzumelden, auf die Stammdaten anderer Personen gestoßen seien. Auf Twitter behauptet etwa eine Userin, dass ihre Mutter von einer Frau in Oberösterreich angerufen worden sei, die ihre Daten eingesehen habe. Die von der Webseite eingesammelten Daten sind dabei durchaus sensibel: Neben Name, Geburtsdatum, Geschlecht und voller Adresse wird auch die Sozialversicherungsnummer abgefragt.

Für die technische Umsetzung war die IT-Firma World Direct zuständig. Die Tochter der teilstaatlichen A1 gibt an, dass es sich dabei um Daten eines Testservers handle, der fälschlicherweise auch nach dem Start der Plattform noch im Einsatz gewesen sei. Ob es sich bei den entwischten Daten um reale Personendaten gehandelt hat oder nicht, konnte das Unternehmen auf STANDARD-Anfrage am Mittwochabend und auch am Donnerstag zu Mittag noch nicht beantworten – demnach wird dies aktuell noch in den Log-Dateien geprüft.

Meldung üblicherweise bei Verstoß

"World Direct ist nach wie vor in der Analyse des Fehlers, und es wurde parallel eine standardmäßige Meldung nach Artikel 33 Datenschutzgrundverordnung bei der Datenschutzbehörde über diesen Vorfall eingebracht", heißt es. Das legt wiederum nahe, dass sehr wohl reale, personenbezogene Daten verloren gegangen sind, wie der Rechtsinformatiker Nikolaus Forgó von der Universität Wien auf Anfrage erklärt. Der Artikel der EU-Verordnung sieht vor, dass bei einer Verletzung des Datenschutzes die zuständige Aufsichtsbehörde unverzüglich informiert wird. World Direct erklärt dazu nur, dass eine Verständigung grundsätzlich ratsam sei, wenn eine mögliche Verletzung vorliege, auch wenn das noch nicht bestätigt sei.

Ob die Angabe der sensiblen Daten verpflichtend ist, ist für die Nutzer übrigens nicht auf den ersten Blick ersichtlich. Zwar ist dieses Feld das einzige, dessen Beschreibung keine Kennzeichnung mit einem Stern hat, was üblicherweise heißt, dass die Angabe freiwillig ist. Erklärt wird das auf der Webseite allerdings nicht.

Zeitdruck

Bei den Ursachen für diese Panne gibt man sich ungewohnt offen. "Die Anmeldeseite wurde unter großem Zeitdruck im Laufe des Wochenendes erstellt und auch im Rahmen der zeitlichen Möglichkeiten intensiv getestet", heißt es in einer Mitteilung. Damit spielt man den Ball zurück an die Politik. Bundeskanzler Sebastian Kurz (ÖVP) hatte die österreichweiten Tests offenbar auch für die technischen Verantwortlichen recht überraschend Mitte November im Rahmen einer ORF-"Pressestunde" angekündigt.

Mail-Server-Schwächen

Der Eindruck einen überhasteten Entwicklung entsteht auch bei einem Blick auf einen anderen Teil der von "Österreich testet" genutzten Infrastruktur. Zeigen sich doch auch bei der Konfiguration der Mail-Server grobe Defizite. So fehlt die Unterstützung für zur Echtheitsüberprüfung genutzte – und weitverbreitete – Standards wie DKIM, DMARC oder SPF. Und das hat konkrete Auswirkungen: Erhöht dies doch die Chancen, dass die Bestätigungsmails zur Anmeldung im Spam-Filter des Mail-Clients landen – und genau das scheint bei Nutzern des vielgenutzten Gmail von Google passiert zu sein.

Ebenfalls technisch nicht gerade optimal umgesetzt: Wie mehrere Twitter-Nutzer bemerkt haben, ist es möglich, sich mit denselben Daten mehrfach für eine Untersuchung zu registrieren.

Reaktionen

Die Opposition reagierte mit Hohn: Bundeskanzler Kurz mache aus Sicht von SPÖ-Bundesgeschäftsführer Christian Deutsch das Land "immer mehr zur Lachnummer". Dabei verweist er auf die Corona-Ampel und den Start der Plattform "Kaufhaus Österreich". Auch die FPÖ verweist auf Letztere und findet es unfassbar, dass binnen weniger Stunden eine weitere Panne geliefert wurde. Die Neos orten einen "verantwortungslosen Umgang mit dem Datenschutz". (Muzayen Al-Youssef, Andreas Proschofsky, 3.12.2020)