Zürcher Datenschützer klären Panne beim Contact-Tracing

12. Juli 2022, 14:25
  • security
  • datenschutz
  • coronavirus
image

Ex-Mitarbeitende des Zürcher Contact Tracing konnten noch monatelang auf sensible Daten zugreifen. Die Zürcher Datenschutz­beauftragte ist informiert und trifft Abklärungen.

Fast eine Million Datensätze umfasst das Contact Tracing des Kantons Zürich. Die Datenbank beinhaltet persönliche und teilweise sehr sensible Daten, darunter Name, Adresse, Telefonnummern, E-Mail und Ansteckungsdatum. Bei gewissen Personen kommen auch Symptome, Vorerkrankungen, Kontaktpersonen und Ansteckungsort hinzu.
Wie der 'Tages-Anzeiger' publik gemacht hat, konnten die ehemaligen Mitarbeitenden des Contact Tracings noch monatelang auf die Datenbank zugreifen. Ihre Logins seien nicht gesperrt worden.
Der Security-Experte Sven Fassbender hatte die Probleme entdeckt. Es sei ein schwerer organisatorischer Mangel, wenn Logins nach dem Ausscheiden von Mitarbeitenden nicht automatisch gesperrt werden, so Fassbender zum 'Tages-Anzeiger'. Noch schwerwiegender seien unpersönliche Gruppen-Logins, die verwendet worden seien, um beispielsweise Massenausbrüche in Schulen zu erfassen. Über diese Gruppen-Logins hätten sich Änderungen vornehmen lassen, ohne dass dies nachvollziehbar gewesen wäre. Ausserdem hätte man darüber neue Konten anlegen können.
Immerhin: Einen Missbrauch der Daten sei bisher nicht festgestellt worden, heisst es weiter.

Externe Firma betreute Contact Tracing

Die Gesundheitsdirektion ist laut Bericht vom 'Tages-Anzeiger' auf die Lücke aufmerksam gemacht worden. "Im Zusammenhang mit Ihrer Anfrage mussten wir feststellen, dass aufgrund eines Fehlers im Prozessmanagement die Zugriffsberechtigung der Mitarbeitenden im Contact Tracing beim Austritt nicht deaktiviert wurde", zitiert die Zeitung.
Die Datenbank wurde dem Bericht zufolge von der Firma JDMT verwaltet. Die Firma sei nicht Schuld am Vorfall, so die Gesundheitsdirektion, denn die Verantwortung liege beim Amt.

Zürcher Datenschutzbeauftragte ist informiert

Auf Anfrage von inside-it.ch erklärt die Zürcher Datenschutzstelle, dass man über den Vorfall informiert worden sei. Der Fall werde nun angeschaut.
Derzeit treffe man Abklärungen, so der Mediensprecher, weshalb man noch keine Details nennen könne. Allgemein sei das Ziel der Abklärungen auch, die Auswirkungen zu minimieren. Ausserdem gehe es darum, zu verhindern, dass das Gleiche noch einmal passiert.

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Wegen Daten-Spionage: Sammelklage gegen Meta

In einer Klageschrift gegen Meta heisst es, Apps von Instagram und Facebook würden Daten mittels eines JavaScript-Code auf Websites einspeisen.

publiziert am 23.9.2022
image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022