Zürcher Datenschützer klären Panne beim Contact-Tracing

12. Juli 2022 um 14:25
  • security
  • datenschutz
  • coronavirus
image

Ex-Mitarbeitende des Zürcher Contact Tracing konnten noch monatelang auf sensible Daten zugreifen. Die Zürcher Datenschutz­beauftragte ist informiert und trifft Abklärungen.

Fast eine Million Datensätze umfasst das Contact Tracing des Kantons Zürich. Die Datenbank beinhaltet persönliche und teilweise sehr sensible Daten, darunter Name, Adresse, Telefonnummern, E-Mail und Ansteckungsdatum. Bei gewissen Personen kommen auch Symptome, Vorerkrankungen, Kontaktpersonen und Ansteckungsort hinzu.
Wie der 'Tages-Anzeiger' publik gemacht hat, konnten die ehemaligen Mitarbeitenden des Contact Tracings noch monatelang auf die Datenbank zugreifen. Ihre Logins seien nicht gesperrt worden.
Der Security-Experte Sven Fassbender hatte die Probleme entdeckt. Es sei ein schwerer organisatorischer Mangel, wenn Logins nach dem Ausscheiden von Mitarbeitenden nicht automatisch gesperrt werden, so Fassbender zum 'Tages-Anzeiger'. Noch schwerwiegender seien unpersönliche Gruppen-Logins, die verwendet worden seien, um beispielsweise Massenausbrüche in Schulen zu erfassen. Über diese Gruppen-Logins hätten sich Änderungen vornehmen lassen, ohne dass dies nachvollziehbar gewesen wäre. Ausserdem hätte man darüber neue Konten anlegen können.
Immerhin: Einen Missbrauch der Daten sei bisher nicht festgestellt worden, heisst es weiter.

Externe Firma betreute Contact Tracing

Die Gesundheitsdirektion ist laut Bericht vom 'Tages-Anzeiger' auf die Lücke aufmerksam gemacht worden. "Im Zusammenhang mit Ihrer Anfrage mussten wir feststellen, dass aufgrund eines Fehlers im Prozessmanagement die Zugriffsberechtigung der Mitarbeitenden im Contact Tracing beim Austritt nicht deaktiviert wurde", zitiert die Zeitung.
Die Datenbank wurde dem Bericht zufolge von der Firma JDMT verwaltet. Die Firma sei nicht Schuld am Vorfall, so die Gesundheitsdirektion, denn die Verantwortung liege beim Amt.

Zürcher Datenschutzbeauftragte ist informiert

Auf Anfrage von inside-it.ch erklärt die Zürcher Datenschutzstelle, dass man über den Vorfall informiert worden sei. Der Fall werde nun angeschaut.
Derzeit treffe man Abklärungen, so der Mediensprecher, weshalb man noch keine Details nennen könne. Allgemein sei das Ziel der Abklärungen auch, die Auswirkungen zu minimieren. Ausserdem gehe es darum, zu verhindern, dass das Gleiche noch einmal passiert.

Loading

Mehr erfahren

Mehr zum Thema

image

Vogt am Freitag: Mehr Anstrengung, statt mehr Überwachung

EU-Staaten wollen ein gigantisches Überwachungsprogramm implementieren, das auch Bürgerinnen und Bürger hierzulande betrifft. Aber grosse Medien ignorieren das. Warum?

publiziert am 14.6.2024
image

Windows-Sicherheitslücke stand lange offen

Hacker konnten die Lücke wohl einige Wochen oder sogar Monate ausnützen, bevor ein Patch veröffentlicht wurde.

publiziert am 14.6.2024
image

DDoS-Attacken wurden abgewehrt

Das Bundesamt für Cybersicherheit hat weitere Angriffe festgestellt.

publiziert am 14.6.2024
image

Podcast: Der beste Freund der Insider-Bedrohung ist die Leugnung ihrer Existenz

Bei Cyberbedrohungen denkt man oft nur an Angriffe von Aussen. Was aber ist mit Insidern, die ein System von Innen heraus angreifen? Darüber debattiert Doron Zimmermann, Experte für Cyberbedrohungen und Security Threat Intelligence, mit Chefredaktor Reto Vogt.

publiziert am 14.6.2024