Datenleck in der Teststraße: Passwörter lagen frei herum

Datenleck in der Teststraße: Passwörter lagen frei herum
Im Wiener Austria Center war der Zugang auf die Patientendaten möglich. Stadt beteuert, Problem behoben zu haben.

Ein Fall eines bemerkenswert schlampigen Umgangs mit sensiblen Daten ist jetzt in der Corona-Teststraße im Wiener Austria Center (ACV) bekannt geworden. So hätten dortige Mitarbeiter ihre Zugangsdaten neben dem Computer offen abgelegt, sodass sie von Besuchern der Teststraße ohne Weiteres einsehbar waren. Das berichtet der Standard. Entsprechende Informationen hätten sich im Rahmen eines Lokalaugenscheins bestätigt.

Damit nicht genug: Auch die Qualität der frei herumliegenden Passwörter habe zu wünschen übrig gelassen. Sie hätten eine hohe Übereinstimmung mit den Nutzernamen gehabt.

Die Zugangsdaten sind der Schlüssel für die Web-App der Stadt, in der die Daten der getesteten Personen abgelegt sind.

Problematisch sei auch, dass die Passwörter noch nie geändert worden seien und jeder, der schon einmal dort gearbeitet habe, daher Zugriff auf die Daten gehabt habe, heißt es im Bericht. Das System sei im Internet verfügbar, was einen Log-in auch von außen erlaubt habe – und damit ein Zugriff auf die Daten.

210.000 Tests

Theoretisch waren enorme Datenmengen nicht mehr sicher: Mehr als 210.000 Antigentests und mehr als 1.000 PCR-Tests, also sämtliche in der Teststraße erfassten Daten seit November des vergangenen Jahres, konnten mit den Zugangsinformationen ausgelesen werden.

Wer sich testen lässt, muss seinen Namen, sein Geburtsdatum, seine Sozialversicherungsnummer, seine Adresse sowie eine Telefonnummer oder eine eMail-Adresse angeben.

System verbessert

Nach Bekanntwerden der Datenschutz-Panne habe man sich mit den Betreibern des ACV zusammengesetzt, das die Mitarbeiter für die Teststraße stellt. Sie hätten bereits eine Schulung erhalten, sagt Klemens Himpele, Leiter der Gruppe Prozessmanagement und IKT-Strategie in der Magistratsdirektion. Zudem habe man eine Zweifaktor-Authentifizierung eingeführt. Neben dem Passwort müssen die Mitarbeiter noch einen Code eingeben, der über einen Token generiert wird.

Es sei es jedenfalls zu keinem Datendiebstahl gekommen, betont Himpele: „Wir konnten keinen irregulären Zugriff feststellen.“

Kritik kommt von der Opposition: „Der fehlende Datenschutz für sensible Gesundheitsdaten ist grob fahrlässig“, sagt die Grüne Gemeinderätin Barbara Huemer. „Wir erwarten, dass die Datensicherheit in den Wiener Teststraßen umgehend auf ein Maximum erhöht wird“, so auch die ÖVP-Gemeinderäte Ingrid Korosec und Erol Holawatsch. J. Gebhard

Kommentare