Wenn eine Datenschutz-Organisation ihren Job macht und Sicherheitslücken in staatlichen Systemen aufdeckt, dann sollte man meinen, dass das auch im Interesse der Volksvertreter der Republik Österreich ist. Weit gefehlt. Das Gesundheitsministerium zeigte die seit 14 Jahren tätige NGO Epicenter Works an, weil diese während der Pandemie kritische Sicherheitslücken im Epidemiologischen Meldesystem (EMS) aufgedeckt hatte. Im EMS sind alle meldepflichtigen Krankheiten sowie gesperrte Daten von Diplomatinnen und Diplomaten gespeichert. Auf sie konnten Hacker zum damaligen Zeitpunkt über Monate zugreifen.

DER STANDARD äußerte im November 2021 einen Verdacht bezüglich dieser Lücke und kontaktierte Epicenter Works, das den Fall prüfte. "Es geht darum, Einschätzungen abzugeben, wenn Anfragen aus Politik oder von Medien an uns herangetragen werden", erklärt Thomas Lohninger von Epicenter Works in einer am Dienstag abgehaltenen Pressekonferenz. Die EMS-Aufdeckung lief wie viele andere auch. Nur diesmal war etwas anders. Wie Epicenter Works vor zwei Jahren erfuhr, lief wegen dieser Aufdeckung eine Anzeige gegen die NGO und sogar gegen ihren Direktor Thomas Lohninger persönlich. Das Problem sind vor allem "fehlende Richtlinien", erklärt der Betroffene. Die Anzeige habe auch deshalb eine bedrohlich abschreckende Wirkung auf Sicherheitsforschung und die Zivilgesellschaft, erklärt er.

Verheerende Folgen

Vonseiten der NGO ging man damals vor wie immer. Nachdem die Lücke im EMS gefunden und verifiziert worden war, kontaktierte man das Gesundheitsministerium und konfrontierte dieses mit dem Problem. Erst als die Lücke geschlossen worden war, ging Epicenter Works mit der Geschichte an die Öffentlichkeit. Zwei Beamte des Gesundheitsministeriums erstatteten kurz darauf Anzeige gegen die NGO, informierten Lohninger allerdings nicht. Erst ein Jahr nach der Einreichung erfuhr Epicenter Works von der Anzeige und holte sich anwaltliche Vertretung.

Im Dezember 2022 kontaktierte man Gesundheitsminister Rauch mit der Bitte, die Anzeige zurückzuziehen. Das Anschreiben wurde von Rauch laut Lohninger nie beantwortet. Die NGO wusste weiterhin nicht, warum man in diesem Fall angezeigt wurde. Hatte man zu viele Lücken während der Pandemie aufgezeigt? Immerhin gab es Fälle in Sachen Grüner Pass oder auch bei "Österreich testet". Überall wurden laut Lohninger "gravierende Sicherheitslücken" festgestellt. "Offenbar gibt es Leute, die sich dadurch gestört fühlen."

15.000 Euro hat der Fall die NGO bisher gekostet, aber vor allem die Anzeige und die fehlende Kommunikation des Klägers wiegen schwer. "Wir müssen Sicherheitslücken benennen und sollten nicht strafrechtliche Konsequenzen befürchten müssen", erklärt Lohninger. Durch solche rechtlichen Schritte würden nicht nur NGOs, sondern auch JournalistInnen oder Sicherheitsforscher in ihren Freiheiten massiv beschnitten. Die Angst vor einem Gerichtsverfahren und dem dazugehörigen Kosten- und Zeitaufwand könnte dazu führen, dass sich vor allem gemeinnützige Organisationen in Zukunft "wohl zweimal überlegen, ob sie eine Sicherheitslücke wirklich melden". Dadurch würden die heimischen IT-Systeme insgesamt unsicherer und angreifbarer werden, und das hätte laut Lohninger "verheerende Folgen".

Fall eingestellt

"Da läuft wirklich etwas ganz gewaltig schief", meint auch Rechtsanwältin Maria Windhager, die die NGO in dieser Causa vertritt. Es handle sich um ein Ermächtigungsdelikt, doch die Frage sei auch aus der Sicht der Staatsanwaltschaft, wer die Ermächtigung für die Verfolgung überhaupt erteilen könne. Dies seien offenbar vor allem von der Sicherheitslücke Betroffene. Auch darauf habe Epicenter Works Rücksicht genommen und nur Daten von Personen abgefragt, die man gekannt habe und bezüglich derer man die Zustimmung dazu erteilt bekam. Zudem sei es klar im überwiegend öffentlichen Interesse, solche Sicherheitslücken zu schließen, so die Anwältin.

Lohninger gibt sich nach den zwei Jahren der Unsicherheit trotzdem kampfesmutig: "Wir würden das wieder machen, wir lassen uns nicht einschüchtern", bestätigt er. Er nennt zudem Länder wie Litauen oder die Niederlande, wo bereits entsprechende Gesetze existieren, die den moralisch richtigen Umgang mit Sicherheitslücken nach dem Prinzip der "Responsible Disclosure" förderten und sogar mit Geld belohnen. Es brauche deshalb dringend eine gesetzliche Änderung, fordert Lohninger. Was ein Forscher genau tun, was er verarbeiten und wann er an die Medien gehen darf – all diese Fragen seien auch nach diesem Fall weiterhin offen.

Angst vor weiteren Rechtsschritten

Am 1. Mai ende das Begutachtungsverfahren zum Netz- und Informationssystemsicherheitsgesetz (NISG 2024), in dem Österreich trotz EU-Empfehlung dieses Problem der Aufklärung weiterhin nicht löst. Globale Fälle, bei denen mehrere Länder betroffen sind, bleiben eine andere Baustelle. Auch deshalb würde man wie in der Vergangenheit wohl weiter vor allem anonyme Hinweise bekommen. Viele hätten Angst, ebenfalls angezeigt zu werden, weil sie eine Sicherheitslücke entdeckt haben. Als Gesellschaft müsse man hier umdenken, sonst würden die Meldungen zurückgehen und die Gefahren zunehmen.

Da der Fall ohne Urteil eingestellt wurde, bleiben viele dieser Fragen unbeantwortet, erklärt Windhager. Ein klärendes Gespräch mit dem zuständigen Minister hat es bis heute nicht gegeben. (Alexander Amon, APA, 30.4.2024)