Da staunte Thomas Lohninger von epicenter.works nicht schlecht, als er im Dezember 2022 erfuhr, dass die Staatsanwaltschaft mit Ermächtigung des österreichischen Gesundheitsministers seit einem Jahr gegen ihn wegen angeblichen Hackings ermittelte. Die Datenschutz-NGO hatte zusammen mit der österreichischen Tageszeitung „Der Standard“ eine Sicherheitslücke im Epidemiologischen Meldesystems aufgedeckt und diese vor Veröffentlichung nach den Prinzipien des responsible disclosure dem Gesundheitsministerium mitgeteilt, damit dieses sie schließen konnte.

Die gemeinsame Recherche hatte ein schwerwiegendes Sicherheitsproblem in Österreichs zentralem Meldesystem für Corona-Daten festgestellt: Demnach wäre es für Unbefugte möglich gewesen, personenbezogene Daten abzufragen und falsche Laborergebnisse einzuspielen. Der Zugriff auf die Schnittstelle zum Epidemiologischen Meldesystem (EMS) war durch ein nicht-personalisiertes Zertifikat möglich. Wer ein solches Zertifikat hatte, konnte auf das System zugreifen. Insgesamt waren laut der Recherche mehr als 225 solcher Zertifikate im Umlauf, mindestens eines davon lief auf eine Labor-Firma, die schon seit mehreren Monaten nicht mehr dazu berechtigt hätte sein sollen. Es gab keine Bindung auf IP-Adressen von Laboren, welche den Zugriff begrenzt hätte.

Ermächtigung im Namen des Ministers

Nachdem Standard und epicenter.works sich beim von den Grünen geführten Gesundheitsministerium gemeldet hatten, schloss dieses die Lücke vor Veröffentlichung der Berichte am 16. Dezember. Eine Woche später stellten nach Angabe von epicenter.works jedoch zwei hochrangige Beamte aus dem Gesundheitsministerium Anzeige wegen § 118a StGB (Widerrechtlicher Zugriff auf ein Computersystem) und ermächtigten so die Strafverfolgung gegen die NGO im Namen des damaligen Ministers. Das Delikt kann bei einer Verurteilung mit bis zu drei Jahren Haft bestraft werden.

Erst ein Jahr später erfährt die Datenschutzorganisation, dass gegen sie ermittelt wird. Sie wendet sich an den Nachfolger des Gesundheitsministers, beschwert sich per Brief (PDF), fordert die Rücknahme der Ermächtigung – und erhält keine Antwort. Erst ein gutes Jahr später, Mitte Februar 2024, wird das Verfahren dann endlich eingestellt. Es dauerte unter anderem so lange, weil das Verfahren mit einem weiteren juristischen Verfahren gegen den Verursacher der Sicherheitslücke verknüpft war und deswegen jeder Schritt berichtspflichtig war.

Lohninger hält eine politische Motivation der Anzeige nicht für ausgeschlossen. Der Verein habe in der Covid-Pandemie eine Vielzahl an Sicherheitslücken und Datenschutzproblemen im Gesundheitsbereich aufgezeigt. „Wir fragen uns, ob die Anzeige gegen uns damit zu tun hat“, so Lohninger gegenüber netzpolitik.org.

Der Vorstand der Datenschutz-NGO weiter:

Es ist alarmierend, dass über zwei Jahre gegen uns als Datenschutzorganisation ermittelt wird, obwohl wir nur unseren Job als Public Watchdog gemacht haben. Anstatt uns um den Schutz der Daten der Bevölkerung zu kümmern und wie bisher Sicherheitslücken den Verantwortlichen zu melden, waren auch wir mit der Strafverfolgung gegen uns abgelenkt.

Im Gesundheitsministerium wehrt man sich gegen diesen Vorwurf. Eine Sprecherin sagt gegenüber netzpolitik.org, dass das Ministerium zur Anzeige verpflichtet gewesen sei, deswegen habe es die Ermächtigung auch nicht später zurücknehmen können. „Selbstverständlich gab es kein Motiv, die Arbeit von epicenter.works zu behindern“, so die Sprecherin weiter. „Kontrolle ist wichtig in unserer Demokratie. Das gilt vor allem, wenn es um den Schutz von Gesundheitsdaten geht. NGOs wie epicenter.works leisten mit ihrer Arbeit hierfür einen wichtigen Beitrag.“

Die warmen Worte helfen der Datenschutzorganisation im Nachhinein nur wenig, ihr sind im Verfahren für interne Bearbeitung und juristische Beratung fast 15.000 Euro Kosten entstanden, von denen die Anwaltskosten immerhin von der Rechtsschutzversicherung übernommen wurden.

Änderungen im Hackerparagraf gefordert

Doch auch politisch ist der Fall ein Problem. Epicenter spricht von einer „abschreckenden Wirkung“ auf alle Sicherheitsforscher:innen und NGOs, die ähnliche Sicherheitslücken den Verantwortlichen aus Angst vor Strafverfolgung vermutlich nicht mehr melden werden. „Moralisch richtiges Handeln wird nach derzeitiger Rechtslage bestraft, was uns alle unsicherer macht“, sagt Lohninger.

Die Bürgerrechtsorganisation fordert nicht erst seit dem Verfahren gegen sich selbst, im Hackerparagrafen „eine explizite gesetzliche Ausnahme für den verantwortlichen Umgang mit Sicherheitslücken zu schaffen“, die dann unter gewissen Voraussetzungen immer straffrei bleiben soll. In einem Hintergrundpapier (PDF) hat sie die Gründe dafür dargelegt.

Offenlegung:
Thomas Lohninger hat in der Vergangenheit Artikel bei netzpolitik.org geschrieben.