Sicherheitslücke in Testzentren: Über 136.000 Ergebnisse einsehbar

, Uhr
Berlin -

In über 100 Corona-Testzentren und mobilen Test-Teams in Deutschland und Österreich gab es offenbar massive Sicherheitslücken beim Datenschutz: Der Chaos Computer Club (CCC) konnte nach eigenen Angaben mittels einfachster Methoden über 136.000 Testergebnisse von über 80.000 Personen einsehen. Der betroffene Testzentrumsbetreiber 21dx hat diese nach eigener Aussage behoben – doch der CCC zieht das in Zweifel.

Die Covid-19-Pandemie offenbare vielerorts Digitalisierungsmängel, beklagt der CCC: „Der akute Bedarf an digitalen Lösungen motiviert viele Unternehmen zu digitalen Schnellschüssen.“ Ein solcher Schnellschuss war demnach die Testcenter-Software „Safeplay“ des Wiener Unternehmens Medicus.ai. Dabei handelt es sich nach Unternehmensangaben um eine „Rundum-Sorglos-Website“, über die von der Terminbuchung bis zum Online-Testzertifikat der gesamte Testprozess abgebildet werden kann.

Allerdings hat Medicus.ai dabei laut CCC den Datenschutz arg vernachlässigt: Die Mitglieder der CCC-Gruppe „Zerforschung“ haben sich die Seite vorgenommen und mussten dabei nach eigener Darstellung „erst einmal zehntausende Testergebnisse samt persönlicher Daten in Sicherheit bringen“. Denn von über 80.000 Menschen seien so ziemlich alle sensiblen Daten vollkommen ungeschützt über das offene Internet einsehbar: Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis.

Besonders erschreckend sei dabei gewesen, wie einfach es möglich war, an die Daten zu gelangen: Den CCC-Mitgliedern sei die Sicherheitslücke nach einem eigenen Besuch in einem Berliner Testzentrum aufgefallen. Demnach reiche es, sich für einen eigenen Test einen Account auf der Seite anzulegen, um alle örtlichen Testergebnisse samt personenbezogener Daten mit einem äußerst einfachen Trick einzusehen. Denn die URL der Seite, auf der man sein Ergebnis einsehen kann, enthält die Nummer des Tests. Man musste dann einfach nur jene Nummer hoch- oder runterzählen und dann in der URL ändern, um die anderen Testzertifikate einzusehen. Die Testzertifikate enthalten neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen. Sie waren nicht weiter geschützt. Doch das war nicht die einzige Sicherheitslücke.

APOTHEKE ADHOC Debatte

Neuere Artikel zum Thema
Weiteres
Wenig Interesse an Telemedizin
Stada-Umfrage: Arzt sticht App»
EU muss Schnittstellen-Verordnung absegnen
E-Rezept: Vorerst keine Daten für Vor-Ort-Plattformen»
Beeinflussung von Metastasen
Palmfett, Rezeptoren und Krebs»
Strafrechtler Dr. Patrick Teubner
FAQ: Gefälschte Impfausweise»