Datenleck in Corona-Testzentren: Daten von Getesteten lagen ungeschützt im Netz

IT-Experten des Chaos Computer Clubs (CCC) haben mehrere Schwachstellen in einer Software aufgedeckt, die in

Wer sich auf das Coronavirus testen lässt, muss seine Kontaktdaten angeben, um im Fall eines positiven Befundes erreichbar zu sein. Eigentlich müssen solche sensiblen Gesundheitsdaten besonders gut geschützt werden. Doch laut Recherchen von IT-Sicherheitsexperten, über die unter anderem die "Süddeutschen Zeitung" berichtet, hat es bei einer Software für Testzentren ein massives Datenleck gegeben.

Dadurch waren mindestens 136.000 Datensätze zu durchgeführten Corona-Schnelltests wochenlang ungeschützt im Netz abrufbar. Unbefugte hätten sowohl die Testresultate als auch die Namen, Adressen und andere persönliche Informationen von Getesteten einsehen können.

Vollständige Befunde als ungeschützte PDFs abgelegt

Das Datenleck war zunächst im Testzentrum Berlin Süd aufgefallen, das von der Münchener Firma 21Dx betrieben wird. Um einen Schnelltest durchführen zu lassen, konnten Besucher einen Termin online buchen. Vor Ort mussten sie lediglich ihren Personalausweis vorlegen und einen QR-Code scannen. Das Testergebnis wurde innerhalb von einer guten Viertelstunde per E-Mail verschickt. Doch diese Befunde landeten zum Teil auch ungeschützt im Netz, wie die IT-Expertengruppe Zerforschung des Chaos Computer Clubs (CCC) nach einer genaueren Untersuchung des Systems herausgefunden hatte.

Schuld an der Datenpanne war demnach eine Sicherheitslücke in der Software namens "Safeplay", die das Berliner Testzentrum zur Terminvergabe und Übermittlung des Testergebnisses einsetzt. Die vollständigen Befunde wurden zeitweise nämlich auch in ungeschützten PDFs abgelegt. Diese Dokumente enthielten sowohl die Namen, Anschrift, E-Mail-Adressen und Telefonnummern der Getesteten als auch den Zeitpunkt und das Ergebnis des Abstrichs. Um sie zu öffnen, war kein Passwort notwendig. Unbefugte hätten sie sich einfach herunterladen können. Dazu mussten sie sich den Berichten zufolge nur ein Konto bei einem Testzentrum erstellen und ihren Internetbrowser trickreich nutzen.

Hersteller und BSI beschwichtigen

Der Betreiber des Testzentrums, die Münchener Firma 21Dx, bestätigte das Problem und verwies auf den Softwareanbieter Medicus AI. Dieser wiederum hat seinen Sitz in Wien und teilte auf Nachfrage der "Süddeutschen Zeitung" mit, dass der Fehler nach einem Software-Update Mitte Februar aufgetaucht sei. Die Schwachstelle sei "nur von einer technisch sehr versierten Person mit den entsprechenden technischen Werkzeugen" theoretisch auszunutzen gewesen.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschwichtigt: Es liegen "derzeit keine Anhaltspunkte dafür vor, dass die Schwachstelle missbräuchlich ausgenutzt worden ist", heißt es aus der Behörde. Die Schwachstelle sei in Zusammenarbeit mit den Unternehmen schnell geschlossen worden.

Fehlerhafte Software wird an vielen Standorten benutzt

Nach Informationen der "Süddeutschen Zeitung" könnten neben dem Berliner Testzentrum auch noch weitere Einrichtungen von dem Problem betroffen sein, denn die Softwareplattform von Medicus AI wird in mehr als 150 Testzentren in Deutschland und Österreich genutzt. Laut der Analyse von Zerforschung trat das Datenleck bisher in Testzentren in München, Berlin, Mannheim und Klagenfurt auf.

Über eine zweite Softwareschwachstelle waren außerdem Statistiken über die aktuellen Zahlen der positiven und negativen Ergebnisse in den Zentren einsehbar, sowie mit etwas Aufwand Fotos der QR-Codes, die Getestete erhalten, samt Testergebnis.

"Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT", kritisiert der CCC-Sprecher Linus Neumann. "Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt."

Wer befürchtet, von dem Datenleck betroffen zu sein, kann sich bei den zuständigen Landesdatenschutzbeauftragten beschweren. Falls diese zu dem Schluss kommen, dass die Betreiberfirma der Testzentren oder der Softwareanbieter grob fahrlässig mit sensiblen Gesundheitsdaten umgegangen ist, droht ein hohes Bußgeld.