Nachdem schon im März eklatante Sicherheitsmängel bei der IT von Corona-Testzentren bekannt wurden, waren nun erneut tausende Testergebnisse mitsamt personenbezogener Daten online auffindbar. Sicherheitsexpert:innen der Gruppe „Zerforschung“ ist es gelungen, Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mailadressen und Testergebnisse von über 14.000 Getesteten aus Zentren in Hamburg, Berlin, Leipzig und Schwerte einzusehen. Betroffen sind die Testzentren der Firma Eventus Media International (EMI).
Die Sicherheitslücke findet sich in einer Schnittstelle der Webseite, über die Kund:innen sich für einen Test anmelden und ihr Ergebnis abfragen können. Die Seite ist mit dem Blog-System WordPress erstellt. Um die Inhalte der Seite beispielsweise in der WordPress-App oder anderen Anwendungen nutzen zu können, gibt es Schnittstellen, über die alle Daten abgerufen werden können. Hierfür sind die Daten in verschiedene Kategorien unterteilt, bei einem Blog also beispielsweise Beiträge oder Kommentare, damit sie in der anderen Anwendung auch an der richtige Stelle auftauchen, ein Kommentar also auch in der App in der Kommentarspalte landet.
Eine dieser Kategorien hieß bei der Firma EMI „registration“. In dieser Kategorie landeten alle Daten, die bei der Registrierung anfielen, also die persönlichen Daten der Getesteten und nach dem Test auch die Ergebnisse. Wer sich registrierte, bekam einen zehnstelligen Code aus Buchstaben und Zahlen zugewiesen, mit dem man auf der Webseite sein Testergebnis abrufen kann.
Schnittstelle stand ungeschützt allen zur Verfügung
Normalerweise sind solche Schnittstellen geschützt, sodass nicht jeder die Daten absaugen kann. EMI versäumte es aber, für diesen Schutz zu sorgen. So konnten sich die Forscher:innen von Zerforschung eine Liste mit allen Registrierungscodes ausgeben lassen. Diese Codes konnten sie dann auf der Webseite der Betreiberfirma eingeben und so alle persönlichen Daten inklusive Testergebnis einsehen.
Die Expert:innen kritisieren außerdem, dass es keine Begrenzung zu geben schien, wie viele Ergebnisse sie pro Tag oder pro Stunde abrufen konnten. So hätte man massenhafte Abfragen zumindest verlangsamen können.
Um den Schutz dieser sensiblen, personenbezogenen Gesundheitsdaten möglichst schnell zu gewährleisten, informierten die Forscher:innen vor der Veröffentlichung das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Betreiberfirma EMI. Die Sicherheitslücke ist seit Dienstag geschlossen.
Hinweise auf Datenpannen in weiteren Testzentren
Gegenüber Journalist:innen von NDR, RBB und MDR bedauert ein Sprecher von EMI das Datenleck. Man habe „Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können.“ Wie vermeintlich „versierten“ Spezialist:innen derartig simple Sicherheitslücken entgehen konnten, bleibt offen.
Die Journalist:innen erfuhren von der nordrhein-westfälischen Datenschutzbehörde, dass es noch mindestens drei weitere Testzentren gäbe, bei denen es Hinweise auf ähnliche Datenpannen gebe. Diese Fälle seien besonders gravierend, weil es sich um Gesundheitsdaten handele, die besonderen Schutz benötigten. Die Behörden können bei Datenschutzverstößen Bußgelder verhängen, die allerdings „verhältnismäßig“ ausfallen müssen.
Das Team von Zerforschung kritisiert fehlende Härte der Behörden im Umgang mit solchen Sicherheitslücken: „Unternehmen scheinen bei solchen Problemen keine Konsequenzen zu fürchten. […] Der Schutz von Gesundheitsdaten darf nicht auf die leichte Schulter genommen werden. Dabei darf die besondere Pandemielage und schnelle Handlungsfähigkeit keine Ausrede sein.“
Tests mittlerweile Bedingung für Teilnahme am öffentlichen Leben
Schon Anfang März deckten die Sicherheitsexpert:innen auf, dass in Testzentren der Firma 21dx Ergebnisse online massenhaft abrufbar waren. Die Getesteten bekamen damals eine sechsstellige Zahl zugeteilt, mit der die Testergebnisse im PDF-Format wieder der richtigen Person zugeordnet werden sollten. Diese Zahl konnten Nutzer:innen aber bei der Abfrage der Ergebnisse beliebig nach oben oder unten verändern und so an die Ergebnisse anderer Personen gelangen und deren Daten einsehen.
Im Vergleich zu den Enthüllungen Anfang März sind die neuen Sicherheitslücken insofern bedenklicher, als dass das Testen immer flächendeckender stattfindet und in vielen Fällen eine Bedingung für die Teilnahme am öffentlichen Leben sein soll, zum Beispiel in Schulen, im Arbeitsleben oder für den Besuch von Restaurants oder Museen. Wer dabei nicht benachteiligt werden möchte, dem bleibt in vielen Fällen nichts anderes übrig als sich testen zu lassen. Das ist aus Sicht der Pandemiebekämpfung auch sinnvoll. Umso entscheidender ist es, dass die Menschen sich darauf verlassen können, dass ihre Daten beim Corona-Test angemessen geschützt sind.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires