Kanton Zürich Gekündigte Contact-Tracer konnten noch monatelang heikle Daten abrufen

Ehemalige Mitarbeitende des Contact Tracing im Kanton Zürich konnten noch Monate nach dessen Ende auf sensible Daten zugreifen. 950'000 Datensätze sind vom Leck betroffen.

Es sind sensible Daten, die zu wenig geschützt waren: Name, Adresse, Telefonnummern, E-Mail, Ansteckungsdatum; dazu bei gewissen auch Symptome, Vorerkrankungen, Kontaktpersonen und Ansteckungsort. Doch auch nachdem der Kanton Zürich das Contact Tracing Ende März eingestellt hatte, blieben die Logins der Ex-Mitarbeitenden gültig, die oben angeführten Informationen für sie frei zugänglich. 

Entdeckt hat das Leck Sven Fassbender. Publik gemacht hat sie der «Tages-Anzeiger». Der Spezialist für Datensicherheit hat schon die Sicherheitslücke beim Organspende-Register aufgedeckt und jene beim elektronischen Impfausweis meineimpfungen.ch. Er nennt es einen schweren organisatorischen Mangel, wenn Log-ins nach Ausscheiden von Mitarbeitenden nicht automatisch gesperrt werden. Und wenn sich eine nicht mehr angestellte Person nochmals ins System einloggt, müsste gemäss Fassbender ein Alarm ausgelöst werden.

Noch schwerwiegender seien unpersönliche Gruppen-Log-ins, urteilt der Experte für Informationssicherheit. Deren Zweck sei es gewesen, Massenausbrüche in Schulen oder Firmen festzuhalten. Wer Zugang zu einem solchen Konto hatte, konnte unter anderem neue Nutzerkonten erstellen, hatte also im Prinzip Administratorrechte. 

Unpersönliche Gruppen-Log-ins

Über die Gruppen-Log-ins liessen sich Änderungen vornehmen, die nicht einer Person zugeordnet werden können. Dies sei nicht in Ordnung, so Fassbender. Zudem müssten aktive Konten regelmässig auf Unstimmigkeiten überprüft werden. 

Kanton ZürichContact-Tracer «kommen schlicht nicht mehr nach»

Der Tages-Anzeiger konfrontierte Gesundheitsdirektorin Nathalie Rickli und den Chef der vom Kanton mit dem Contact Tracing beauftragen Firma, Andreas Juchli. Dieser sitzt für die FDP im Zürcher Kantonsrat. Die Zeitung wartete zudem mit der Publikation der Rechercheergebnisse zu, damit sich niemand aufgrund des Berichts Zugang zu den sensiblen Daten verschafft. 

Die Gesundheitsdirektion räumte die Sicherheitslücke ein. Der Tages-Anzeiger zitiert aus der Antwort: «Im Zusammenhang mit Ihrer Anfrage mussten wir feststellen, dass aufgrund eines Fehlers im Prozessmanagement die Zugriffsberechtigung der Mitarbeitenden im Contact-Tracing beim Austritt nicht deaktiviert wurde.» Das Amt übernahm die Verantwortung für den Fehler und bedauerte diesen. Das Unternehmen JDMT äusserte sich in Absprache mit der Behörde nicht. 

Zugang zum System war bis Ende Juni möglich

Inzwischen sind die Konten gemäss «Tages-Anzeiger» deaktiviert, welche Ende Juni noch zugänglich waren. Die Gesundheitsdirektion stellte nach eigener Angabe keinen Missbrauch der Daten fest. Sie verweist zudem darauf, dass Mitarbeitende mit ihrem eigenen Smartphone nur einzelne Datensätze hätten herunterladen können. Für grössere Datenmengen wäre ein Firmen-Handy nötig gewesen. Zudem hätten alle eine Datenschutzerklärung unterschrieben, welche Zugang über ein Gruppen-Log-in hatten.

Dem widersprechen zwei ehemalige Mitarbeitende von JDMT und des Contact Tracing, welche der Bericht zitiert. Die eine Person sagt, sie habe nie eine Datenschutzerklärung unterschrieben. Die andere gibt an, es seien längst nicht alle neu Eingestellten überprüft worden.

Abschaltung geplantMarcel Salathé kritisiert BAG für Umgang mit Swisscovid-App

Das Informationssystem, welches das Zürcher Contact Tracing verwendete, geht gemäss Gesundheitsdirektion Ende August ausser Betrieb. Sollte das Contact Tracing wieder aufgenommen werden, müsse der Anbieter eine eigene Software verwenden, so die Behörde weiter. Der Auftrag werde in den nächsten Tagen neu ausgeschrieben. Eine zusätzliche Software zwischen der Gesundheitsdirektion und dem Anbieter sorge für die nötige Datensicherheit. 

Der bisherige Anbieter JDMT kann sich wieder für den Contact-Tracing-Dienst bewerben. Die Gesundheitsdirektion nimmt ihn aus der Verantwortung. Diese liege beim Kanton.