Sicherheitslücke in Testzentren: Über 136.000 Ergebnisse einsehbar

Die Covid-19-Pandemie offenbare vielerorts Digitalisierungsmängel, beklagt der CCC: „Der akute Bedarf an digitalen Lösungen motiviert viele Unternehmen zu digitalen Schnellschüssen.“ Ein solcher Schnellschuss war demnach die Testcenter-Software „Safeplay“ des Wiener Unternehmens Medicus.ai. Dabei handelt es sich nach Unternehmensangaben um eine „Rundum-Sorglos-Website“, über die von der Terminbuchung bis zum Online-Testzertifikat der gesamte Testprozess abgebildet werden kann.

Allerdings hat Medicus.ai dabei laut CCC den Datenschutz arg vernachlässigt: Die Mitglieder der CCC-Gruppe „Zerforschung“ haben sich die Seite vorgenommen und mussten dabei nach eigener Darstellung „erst einmal zehntausende Testergebnisse samt persönlicher Daten in Sicherheit bringen“. Denn von über 80.000 Menschen seien so ziemlich alle sensiblen Daten vollkommen ungeschützt über das offene Internet einsehbar: Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis.

Besonders erschreckend sei dabei gewesen, wie einfach es möglich war, an die Daten zu gelangen: Den CCC-Mitgliedern sei die Sicherheitslücke nach einem eigenen Besuch in einem Berliner Testzentrum aufgefallen. Demnach reiche es, sich für einen eigenen Test einen Account auf der Seite anzulegen, um alle örtlichen Testergebnisse samt personenbezogener Daten mit einem äußerst einfachen Trick einzusehen. Denn die URL der Seite, auf der man sein Ergebnis einsehen kann, enthält die Nummer des Tests. Man musste dann einfach nur jene Nummer hoch- oder runterzählen und dann in der URL ändern, um die anderen Testzertifikate einzusehen. Die Testzertifikate enthalten neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen. Sie waren nicht weiter geschützt. Doch das war nicht die einzige Sicherheitslücke.

So sei mit jedem Account auch ein Dashboard frei zugänglich gewesen. Über das habe der Nutzer sekundengenau für jedes Testzentrum einsehen können, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Daraus wiederum habe sich sehr einfach die URL eines Beweis-Bildes ableiten lassen, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Fotos seien auch die Namen der Getesteten vermerkt gewesen.

Unter den betroffenen Testzentren und -Teams befinden sich laut CCC sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas. Der CCC habe nach Entdeckung der Sicherheitslücken sowohl Behörden als auch das Betreiberunternehmen informiert. Laut eigener Aussage habe Medicus.ai die Sicherheitslücken auf den Hinweis hin geschlossen – es sei jedoch unklar, ob die Schwachstellen von anderen früher entdeckt wurden und ob Daten auf diese Weise bereits in fremde Hände gelangt sind. Die Zusicherungen des betroffenen Unternehmens medicus.ai, es habe kein unberechtigter Zugriff stattgefunden, ließen sich nicht unabhängig prüfen. „Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden“, so ein Mitglied der Gruppe Zerforschung.

Darüber hinaus habe Medicus.ai zwar behauptet, betroffene Nutzerinnen informiert zu haben. „Für Testergebnisse von Freundinnen, auf die wir mit deren Erlaubnis unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten“, so der CCC. Parallel zum Unternehmen haben die IT-Aktivisten deshalb das Bundesamt für Sicherheit in der Informationstechnik, den Bundesdatenschutzbeauftragten und die zuständigen Landesdatenschutzbeauftragten in Deutschland über die Schwachstellen informiert. „Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“, sagt CCC-Sprecher Linus Neumann. „Wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt.“