Wenn Datenschutz-NGOs Sicherheitsmängel in staatlichen Systemen aufdecken, erwarten viele, dass dies im Interesse der Öffentlichkeit und damit der Regierung ist. Die Realität sieht oft anders aus, wie der Fall der NGO Epicenter Works in Österreich zeigt. Die Organisation, die sich seit 14 Jahren für den Datenschutz einsetzt, geriet ins Visier des österreichischen Gesundheitsministeriums, nachdem sie während der Pandemie erhebliche Sicherheitslücken im Epidemiologischen Meldesystem (EMS) aufgedeckt hatte. Dieses System speichert Daten über alle meldepflichtigen Krankheiten und auch sensible Informationen über Diplomaten, die Hackern zeitweise zugänglich waren.
Die Anzeige: Ein Versuch der Einschüchterung?
Die Reaktion des Ministeriums war nicht etwa Dankbarkeit oder eine kooperative Haltung, sondern eine Strafanzeige gegen Epicenter Works und dessen Geschäftsführer Thomas Lohninger. Und das, obwohl die NGO das Ministerium über die Mängel informiert hatte, bevor diese öffentlich wurden. Das Gesundheitsministerium und insbesondere zwei Beamte erstatteten Anzeige, ohne Lohninger direkt zu informieren. Erst ein Jahr später erfuhr die NGO von der Anzeige, was eine breite juristische und finanzielle Unterstützung erforderlich machte. Die Klage wurde schließlich zurückgezogen, aber der Fall hinterließ seine Spuren in der Gemeinschaft der Datenschutzaktivisten und derer, die sich beruflich mit der Aufdeckung von Sicherheitslücken befassen.
Die Kosten der Sicherheit
Der Rechtsstreit kostete Epicenter Works nicht nur mehr als 15.000 Euro, sondern warf auch ein Schlaglicht auf die Risiken, denen Whistleblower in Österreich ausgesetzt sind. Lohninger betont, dass die rechtlichen Hürden und die damit verbundenen Kosten eine abschreckende Wirkung auf das Melden von Sicherheitslücken haben können. Dies führe dazu, dass es sich viele zweimal überlegen würden, kritische Sicherheitslücken zu melden, was der IT-Sicherheit in Österreich insgesamt schade.
Rechtliche Grauzonen und notwendige Gesetzesänderungen
Der Fall Epicenter Works zeigt deutlich, dass in Österreich dringend rechtliche Rahmenbedingungen geschaffen werden müssen, die es Sicherheitsforschern ermöglichen, ohne Angst vor rechtlichen Konsequenzen zu handeln. Länder wie Litauen und die Niederlande haben bereits Gesetze eingeführt, die nicht nur die verantwortungsvolle Offenlegung von Sicherheitslücken fördern, sondern auch finanzielle Anreize für solche Meldungen bieten. Lohninger fordert eine ähnliche Gesetzgebung auch für Österreich, um den Schutz und die Förderung der IT-Sicherheit zu verbessern.
Häufig gestellte Fragen und Antworten
Frage 1: Wie hat das Gesundheitsministerium auf die Aufdeckung reagiert?
Antwort 1: Anstatt die Mängel zu beheben und die Kooperation zu suchen, erstattete das Ministerium Anzeige gegen die NGO und deren Geschäftsführer.
Frage 2: Welche Konsequenzen hatte die Anzeige für Epicenter Works?
Antwort 2: Die NGO musste erhebliche finanzielle und juristische Ressourcen aufwenden und sah sich einer großen Unsicherheit ausgesetzt.
Frage 3: Warum ist es wichtig, dass solche Sicherheitslücken gemeldet werden?
Antwort 3: Die Meldung hilft, potenzielle Gefahren für die öffentliche Sicherheit zu minimieren und die Integrität kritischer Informationssysteme zu schützen.
Frage 4: Was kann man aus diesem Fall über den rechtlichen Schutz von Whistleblowern in Österreich lernen?
Antwort 4: Der Fall zeigt, dass die österreichische Gesetzgebung im Hinblick auf den Schutz von Whistleblowern und die Förderung eines verantwortungsvollen Umgangs mit Sicherheitslücken unzureichend ist.
Frage 5: Welche Maßnahmen sind notwendig, um die Situation zu verbessern?
Antwort 5: Österreich braucht klare gesetzliche Richtlinien und eventuell auch finanzielle Anreize, um das Melden von Sicherheitslücken ohne Angst vor rechtlichen Konsequenzen zu ermöglichen.
Fazit
Die juristischen Auseinandersetzungen und die damit verbundenen Kosten haben Epicenter Works nicht nur finanziell belastet, sondern auch ein Klima der Angst und Unsicherheit geschaffen, das potenziell die Sicherheit von Informationssystemen schwächen könnte. Es ist wichtig, dass Österreich seine Gesetzgebung anpasst, um einen sichereren und offeneren Umgang mit IT-Sicherheitslücken zu ermöglichen.
Quelle: der Standard
Besuchen Sie unsere Online-Vorträge und Workshops oder abonnieren Sie unseren Newsletter, um mehr über diese Themen zu erfahren und sich aktiv für bessere Datenschutzgesetze einzusetzen.
Das könnte Sie auch interessieren:
Bundeswehr dementiert gezielte Rekrutierung für Krieg gegen Russland
Nein, die Frau, die Hitler die Hand schüttelt, ist nicht von der Leyens Großmutter
Who is WHO? Faktencheck zu den Behauptungen über die Weltgesundheitsorganisation
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)