Vor allem aber wisse man aus den Zugriffsprotokollen, dass keinerlei Datenabfluss auf diesem Weg stattgefunden hat – abgesehen von den Tests jenes Softwareentwicklers, der das Sicherheitsdefizit aufgespürt hat.
ok, ich glaube es mal
ich gehe davon aus, das man sich nach einer solchen Aussage nicht auf einen Prozess einlassen möchte
hoffentlich ist die Auskunft der A1-Tochter World Direct korrekt.
Für einige Aufregung sorgt aber auch der Umgang des Gesundheitsministeriums mit dem Vorfall.
Entdeckt wurde die Sicherheitslücke nämlich von einem Webentwickler im Rahmen eines Programmierauftrags für eine der am Testprogramm teilnehmenden Apotheken.
Dieser wandte sich umgehend sowohl an das Gesundheitsministerium als auch an den ORF.
Anstatt die akuten Defizite auszuräumen, wählte man im Ministerium offenbar einen anderen Weg: Die betreffende Apotheke wurde schlicht von "Österreich testet" ausgeschlossen, worauf diese wiederum mit einer Beendigung des Arbeitsverhältnisses des betreffenden Entwicklers reagierte.
Weitere Details gibt es auf Nachfrage des STANDARD dann von der A1-Tochter World Direct, die die Software für die Plattform "Österreich testet" entwickelt. Im konkreten Fall sei es so gewesen, dass Apotheken-Mitarbeiter über eine simple Manipulation einer Web-Adresse (URL) auf andere Testzertifikate hätten zugreifen können.
Dieses Defizit habe man direkt nach der ersten Information durch den Entwickler und den ORF noch im Dezember behoben.
Darüber hinaus betont das Unternehmen aber noch zwei weitere Punkte: Solch ein Fehler sei zwar fraglos unerfreulich, für ein massenhaftes Abgreifen aber kaum geeignet.
Zumal dieser Zugriff generell nur für Apotheken möglich, also nicht öffentlich verfügbar sei.
Vor allem aber wisse man aus den Zugriffsprotokollen, dass keinerlei Datenabfluss auf diesem Weg stattgefunden hat – abgesehen von den Tests jenes Softwareentwicklers, der das Sicherheitsdefizit aufgespürt hat.
Von Gesundheitsminister Wolfgang Mückstein (Grüne) fordern die Datenschützer zusätzlich eine transparente Aufklärung des aktuellen Vorfalls sowie eine Entschuldigung bei jenem Softwareentwickler, der die Lücke gemeldet und als "Dank" dafür seinen Job verloren habe.