Zürcher Datenschützer klären Panne beim Contact-Tracing

12. Juli 2022 um 14:25
  • security
  • datenschutz
  • coronavirus
image

Ex-Mitarbeitende des Zürcher Contact Tracing konnten noch monatelang auf sensible Daten zugreifen. Die Zürcher Datenschutz­beauftragte ist informiert und trifft Abklärungen.

Fast eine Million Datensätze umfasst das Contact Tracing des Kantons Zürich. Die Datenbank beinhaltet persönliche und teilweise sehr sensible Daten, darunter Name, Adresse, Telefonnummern, E-Mail und Ansteckungsdatum. Bei gewissen Personen kommen auch Symptome, Vorerkrankungen, Kontaktpersonen und Ansteckungsort hinzu.
Wie der 'Tages-Anzeiger' publik gemacht hat, konnten die ehemaligen Mitarbeitenden des Contact Tracings noch monatelang auf die Datenbank zugreifen. Ihre Logins seien nicht gesperrt worden.
Der Security-Experte Sven Fassbender hatte die Probleme entdeckt. Es sei ein schwerer organisatorischer Mangel, wenn Logins nach dem Ausscheiden von Mitarbeitenden nicht automatisch gesperrt werden, so Fassbender zum 'Tages-Anzeiger'. Noch schwerwiegender seien unpersönliche Gruppen-Logins, die verwendet worden seien, um beispielsweise Massenausbrüche in Schulen zu erfassen. Über diese Gruppen-Logins hätten sich Änderungen vornehmen lassen, ohne dass dies nachvollziehbar gewesen wäre. Ausserdem hätte man darüber neue Konten anlegen können.
Immerhin: Einen Missbrauch der Daten sei bisher nicht festgestellt worden, heisst es weiter.

Externe Firma betreute Contact Tracing

Die Gesundheitsdirektion ist laut Bericht vom 'Tages-Anzeiger' auf die Lücke aufmerksam gemacht worden. "Im Zusammenhang mit Ihrer Anfrage mussten wir feststellen, dass aufgrund eines Fehlers im Prozessmanagement die Zugriffsberechtigung der Mitarbeitenden im Contact Tracing beim Austritt nicht deaktiviert wurde", zitiert die Zeitung.
Die Datenbank wurde dem Bericht zufolge von der Firma JDMT verwaltet. Die Firma sei nicht Schuld am Vorfall, so die Gesundheitsdirektion, denn die Verantwortung liege beim Amt.

Zürcher Datenschutzbeauftragte ist informiert

Auf Anfrage von inside-it.ch erklärt die Zürcher Datenschutzstelle, dass man über den Vorfall informiert worden sei. Der Fall werde nun angeschaut.
Derzeit treffe man Abklärungen, so der Mediensprecher, weshalb man noch keine Details nennen könne. Allgemein sei das Ziel der Abklärungen auch, die Auswirkungen zu minimieren. Ausserdem gehe es darum, zu verhindern, dass das Gleiche noch einmal passiert.

Loading

Mehr zum Thema

image

Bund will zentrales Tool für das Information Security Management

Zwischen Xplain-Hack und ISG herrscht emsiges Treiben in Bern: 2024 sollen vorerst EFD und VBS ein neues ISMS-Tool für ihre "Kronjuwelen" erhalten.

publiziert am 29.9.2023 2
image

Podcast: Wird Justitia 4.0 zum neuen EPD?

Der Bund will das Justizwesen digitalisieren, macht aber ähnliche Fehler wie beim E-Patienten­dossier. In dieser Episode blicken wir auf die Anfänge zurück und erklären, wieso die Arbeit am Projekt schon begann, bevor die Rechts­grundlage dafür bestand.

publiziert am 29.9.2023
image

DSA: Moderations-Datenbank zählt schon über 9 Millionen Einträge

Der Digital Service Act der EU ist grad einen Monat alt, schon ist die Transparenz-Datenbank gut gefüllt. Sie lässt sich nach Plattform und Verstössen durchsuchen. Twitter weist wenige Treffer aus.

publiziert am 28.9.2023
image

Die USA fahren eine neue Cyberstrategie

Statt auf Alleingänge wollen die Vereinigten Staaten in Sachen IT-Sicherheit vermehrt auf Kooperationen mit anderen Ländern und der Industrie setzen.

publiziert am 28.9.2023