Neue Datenpanne: Hunderttausende Testergebnisse einsehbar

Betroffen ist der Verbund „Schnelltest Berlin“, ein Zusammenschluss mehrerer Anbieter mit 17 Standorten, die über die gesamte Hauptstadt verteilt sind. Sie hätten eine „höchst problematische IT-Lösung genutzt“, die nun zu einer massiven Datenpanne führte. Demnach waren von mindestens 200.000 getesteten Personen Daten wie Name, Geschlecht, Geburtsdatum, Adresse, Telefonnummer und teilweise sogar die Pass- oder Ausweisnummer einsehbar. Der RBB hatte zuerst über den Fall berichtet.

Laut Zerforschung handelt es sich dabei um das Online-System Mein-Schnelltest.com. Indem sie ihr Testergebnis von der Website abgerufen und dann mit einfachsten Mitteln in einem API-Client einige Stellen in der URL gestrichen hatten, erhielten die IT-Aktivisten nach eigenen Angaben Zugriff zu einer Liste von 400.000 Personen samt deren IDs und sonstigen Daten. Zudem enthielt jeder Datensatz ein Feld namens „orders“ – so werden die Tests intern bezeichnet. Indem sie in der URL, mit der sie ihr eigenes Testergebnis als PDF-Datei abrufen, IDs anderer Personen aus der Liste eintrugen, konnten sie beliebig deren Testzertifikate abrufen. „Das heißt: Der Server überprüft nicht, ob das Testergebnis, das wir abrufen, auch wirklich unser eigenes ist“, so Zerforschung.

Doch nicht nur das: Im Quellcode haben die Hacker die Endpunkte entdeckt, über die die Mitarbeiter:innen einen neuen Test im System anlegen und das Testergebnis speichern. Eigentlich sollte der Server bei einem Zugriff prüfen, ob eine Berechtigung vorliegt, die zu nutzen, also ob der Zugriff von einer Person stammt, die in einer Teststelle arbeitet und im System entsprechend freigeschaltet ist. Das tut er aber nicht. Die IT-Aktivisten konnten deshalb für jede beliebige Person einen Test erstellen – und haben das auch getan. „Wir erstellen also einen PCR-Test für Robert Koch“, schreibt Zerforschung. „Und wir können zum Glück mitteilen: Sein Testergebnis war negativ – wir wollen uns gar nicht ausmalen, was für ein Risiko eine Coronainfektion für ihn mit seinen 177 Jahren wäre.“

Ein positives Testergebnis hat Zerforschung indes nicht erstellt – nach eigenen Angaben, weil die Aktivisten nicht wissen, welche Prozesse bei Meldung eines positiven Ergebnisses automatisch ausgelöst wird. Stattdessen haben sie nach eigenen Angaben die Sicherheitslücken dokumentiert und das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund), den Hersteller und die zuständigen Landesdatenschutzbeauftragten über ihre Erkenntnisse informiert. Der Hersteller – die Firma WeCare Services – habe die Lücken innerhalb kürzester Zeit geschlossen und eine weitere Analyse eingeleitet. Allerdings würden die Testergebnisse für Robert Koch nach wie vor im Account existieren. Auch seien betroffene Kunden noch nicht informiert worden.

Die Berliner Datenschutzbeauftragte bestätigte auf RBB-Anfrage die Zahl von 200.000 Betroffenen. Zerforschung geht indes weiter von 400.000 aus sowie von insgesamt 700.000 einsehbaren Testergebnissen aus. WeCare wiederum gab an, die Kunden kommende Woche informieren zu wollen. Gerade arbeite das Unternehmen daran, den Vorfall mit einem IT-Forensiker aufzuklären. Zerforschung indes zeigt sich „fassungslos, wie fahrlässig hier mit den persönlichen Daten von hunderttausenden Menschen umgegangen wird“. Wer eine solche Software anbietet, müsse dafür sorgen, dass diese läuft, ohne Daten zu verlieren, auch das sei ein wichtiger Teil des Datenschutzes.

Hinzu kommt, dass es sich bei weitem nicht um den ersten Vorfall dieser Art handelt. Im März beispielsweise hatte der Chaos Computer Club (CCC) massive Sicherheitslücken in über 100 Corona-Testzentren und mobilen Test-Teams in Deutschland und Österreich aufgedeckt. Damals konnten mittels einfachster Methoden über 136.000 Testergebnisse von über 80.000 Personen eingesehen werden.