Ministerium scheiterte mit Hacking-Vorwurf gegen Daten-NGO

Der Hinweis auf die Lücke sei 2021 von der Tageszeitung "Der Standard" gekommen, und tatsächlich sei diese gravierend gewesen, so Lohninger. Millionen an sensiblen Gesundheitsdaten der österreichischen Bevölkerung seien offen zugänglich und auch eintragbar gewesen, und zwar nicht nur Covid-19 betreffend, sondern auch Krankheiten wie HIV oder Syphilis. Auch auf das Melderegister inklusive gesperrter Daten habe man dadurch zugreifen können.

Man sei nach dem Prinzip des "Responsible Disclosure" vorgegangen, habe also die Lücke verifiziert, die Verantwortlichen informiert und sei erst nach deren Schließung gemeinsam mit der Zeitung an die Öffentlichkeit gegangen. Dennoch sei man vom Gesundheitsministerium nach Paragraf 118a des Strafgesetzbuchs ("widerrechtlicher Zugriff auf ein Computersystem") angezeigt worden, so Lohninger.

Davon erfahren habe man erst ein Jahr später. Auf ein Schreiben von epicenter.works, doch nicht eine Menschenrechtsorganisation für ihre Arbeit zu verfolgen, habe Gesundheitsminister Johannes Rauch (Grüne) bis heute nicht reagiert. Es seien Kosten von mehr als 15.000 Euro entstanden, um sich gegen die Vorwürfe zu wehren. Erst im Februar 2024 sei das Verfahren schlussendlich eingestellt worden.

"Da rennt wirklich was ganz gewaltig schief", meinte auch Rechtsanwältin Maria Windhager, die die NGO in dieser Causa vertritt. Es handle sich um ein Ermächtigungsdelikt, doch die Frage sei auch aus der Sicht der Staatsanwaltschaft, wer die Ermächtigung für die Verfolgung überhaupt erteilen könne und ob das nicht nur von der Lücke Betroffene sein können. Auch darauf habe epicenter.works Rücksicht genommen und nur Daten von Personen abgefragt, die man gekannt habe und die die Ermächtigung dazu erteilt hatten. Zudem sei es klar im überwiegend öffentlichen Interesse, solche Sicherheitslücken zu schließen, so die Anwältin.

Lohninger warnte vor einer abschreckenden Wirkung auf Sicherheitsforschung und Zivilgesellschaft durch derartige Anzeigen. Dennoch: "Wir würden das wieder machen." In Ländern wie Litauen oder den Niederlanden existierten bereits entsprechende Gesetze, die den moralisch richtigen Umgang mit Sicherheitslücken nach dem Prinzip der "Responsible Disclosure" förderten und sogar mit Geld belohnten, anstatt wie in Österreich strafrechtlich zu verfolgen, forderte er gesetzliche Änderungen ein. Am 1. Mai ende das Begutachtungsverfahren zum Netz- und Informationssystemsicherheitsgesetz (NISG 2024), in dem Österreich trotz EU-Empfehlung dieses Problem nicht löse, verwies er auf eine kritische Begutachtungsstellungnahme seiner Organisation.