Das im österreichischen Klosterneuburg beheimatete Unternehmen Sofy GmbH gibt laut einem Bericht des "Handelsblatts" in einer Kundenmail bekannt, Opfer eines Hacks von Aktivisten geworden zu sein. Diese hatten wohl Zugriff auf personenbezogene Daten – ebenso wie auf Gesundheitsdaten, die in der App Edupression gespeichert waren.

Aktivisten hatten Einsicht

Aktivisten sollen das Unternehmen am 1. Mai auf eine Sicherheitslücke bei Schnittstellen der Gesundheits-App hingewiesen haben, heißt es in der Mail, die dem Medium vorliegt. Die Lücke sei "binnen weniger Stunden" behoben worden. Die Weitergabe der Daten an Dritte wird ausgeschlossen, österreichische Sicherheitsbehörden seien informiert worden.

Allerdings sei es im Zusammenhang mit dem Aufzeigen der Daten auch zur Einsicht und zum Abzug einiger Daten durch die Aktivisten gekommen, heißt es weiter. Dazu gehören Stammdaten (Name, Kundennummer, Nickname, E-Mail et cetera) ebenso wie Gesundheitsdaten und Anwenderdaten – so geben Personen in der App etwa an, ob sie Suizidgedanken haben. Eine im Artikel genannte Person trug in der App monatelang ihre Stimmung ein und dokumentierte darin auch ihre Medikamenteneinnahme.

Datenverwendung unwahrscheinlich

Auch wenn dies zunächst für Unwohlsein sorgen dürfte, so ist eine Weiterverwendung der Daten durch die Aktivisten unwahrscheinlich. So verweist die Sofy GmbH in einem Gespräch mit dem "Handelsblatt" auf einen Videocall mit der Gruppe am 4. Mai. Bei diesem habe man darauf hingewiesen, Daten bei ähnlichen Fällen nie verwendet zu haben.

Dem Artikel zufolge handelt es sich bei den Aktivisten um die Gruppe Zerforschung. Diese hatte unter anderem im März 2021 gemeinsam mit anderen Gruppen auf eine Sicherheitslücke beim Wiener Start-up Medicus AI hingewiesen. Durch diese waren tausende Corona-Test-Daten frei im Netz zugänglich gewesen. DER STANDARD berichtete. Auch in Deutschland machte die Gruppe auf Sicherheitsmängel in Gesundheits-Apps aufmerksam. (stm, 5.5.2023)