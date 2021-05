Hannover

Hacker verschafft sich Personendaten von Impfportal

20.05.2021, 15:51 Uhr | dpa

Ein Hacker hat sich Zugriff auf Personendaten des niedersächsischen Corona-Impfportals verschafft und danach das Gesundheitsministerium selber auf die Sicherheitslücke hingewiesen. Die Panne habe frühzeitig behoben werden können, bevor sie von weiteren Personen ausgenutzt werden konnte, teilte das Ministerium am Donnerstag in Hannover mit. Der sogenannte freundliche Hacker habe sich am 7. Mai per Mail mit dem Hinweis gemeldet, dass es ihm gelungen sei, über das Impfportal Zugriff auf Namen und Adressen von registrierten impfwilligen Personen zu erhalten. Er habe keine Daten ausgespäht und wolle, dass die Lücke schnell geschlossen werde.

Eine Überprüfung durch den Betreiber des Impfportals, die Firma Majorel, habe ergeben, dass die Datensätze von insgesamt 1258 registrierten Personen abgerufen oder angezeigt wurden, erklärte das Ministerium. Dies sei ausschließlich kurz vor der Meldung des Hinweisgebers erfolgt, so dass man davon ausgeht, dass alle Zugriffe dem "Friendly Hacker" zuzurechnen sind. Für dessen Warnung sei man sehr dankbar, erklärte Gesundheitsstaatssekretär Heiger Scholz. Man gehe davon aus, dass die Daten vom "Friendly Hacker" nicht gespeichert wurden und den Betroffenen kein Schaden entstanden ist. Diese sollen dennoch in Kürze angeschrieben und informiert werden.

Der Impfportal-Betreiber erläuterte, dass eine Funktion für die Schwachstelle gesorgt habe, die für den Betrieb der Impfzentren ermöglicht, nach Datensätzen von registrierten Impfwilligen zu suchen. Diese Funktion helfe Mitarbeitern der Hotline, wenn etwa Personen anrufen, die Ihren Termincode verloren haben und dann anhand ihres Namens identifiziert werden müssen. Zum Ausnutzen der Schwachstelle sei Insider-Wissen über die Anwendung notwendig gewesen. Eine Manipulation von Datensätzen könne ausgeschlossen werden.

Zum Start der Impfkampagne hatte es bereits einen Cyberangriff auf das Terminvergabeportal für die Corona-Impfungen in Thüringen gegeben. Am ersten Tag der Terminvergabe am 30. Dezember war das System mit einer Vielzahl von Anfragen geflutet worden, was den Server überlastete. Zahlreiche Impfwillige erhielten daraufhin zunächst keine Terminbestätigung. Tatverdächtige konnten zunächst nicht ermittelt werden.

In Niedersachsen gab es im Februar Probleme mit falschen Bestätigungen für Impftermine im Kreis Vechta. Etwa 40 Senioren meldeten sich, die eine Bestätigung für einen Impftermin hatten, der aber nicht im Computersystem des Landes erfasst war. Hinweise auf strafbare Handlungen stellte die Polizei nicht fest. Hier stand die Möglichkeit einer technischen Panne im Raum.