Durch eine einfache Sicherheitslücke wurde der Zugriff auf die Daten von mehr als 100 Testzentren möglich. Betroffen von dem Datenleck sind Corona-Testzentren in Deutschland und Österreich.
Zentren in Deutschland und Österreich betroffen
Die Sicherheitslücke betrifft mehrere Testzentren in Deutschland und Österreich, welche die Patienten nicht ausreichend geschützt haben. Durch die Lücke war ein Zugriff auf 136.000 Testergebnisse und andere Daten wie Namen, Adressen, Telefonnummern, E-Mail-Adressen, Staatsangehörigkeit, Reisepass- und Ausweisnummern und Geburtsdaten von mehr als 80.000 Personen möglich. Dabei wurde die Lücke in den Corona-Testzentren von der Projektgruppe Zerforschung aufgedeckt.
Bei einem Besuch in dem Berliner Corona-Testzentrum wurde ein Test durchgeführt. Die Ergebnisse von dem Test werden nach erfolgreicher Registrierung bei einem Online-Dienst abgerufen. Um die Ergebnisse einzusehen geht der Getestete auf die Domain 21dx.medicus.ai und kann hier dann ein PDF mit den Resultaten runterladen. Problem an der ganze Sache ist, dass die ID zum Herunterladen des Ergebnisses als PDF lediglich aufsteigend nummeriert wurde, so kann durch Abzug oder Addition auch das Testergebnis einer anderen Person abgerufen werden und das mit all den gespeicherten Daten über die jeweilige Person. Damit ein Zugriff auf die Daten möglich war, reichte es aus sich lediglich zu registrieren, nicht einmal ein durchgeführter Test war hierfür nötig.
Nach der Projektgruppe Zerforschung befand sich die Sicherheitslücke in der Software Safeplay. Safeplay ist eine Komplettlösung für Corona-Testzentren, welche vom Wiener Startup Medicus.ai als Software-as-a-Service angeboten wird. Diese Software wird vom Testzentren-Betreiber 21dx verwendet, welcher wiederum ganze 15 Zentren in Deutschland und auch Österreich betreibt, darunter auch Impfzentren.
Nicht die erste Sicherheitslücke
Insgesamt sind von der Sicherheitslücke allerdings nicht nur diese 15 Testzentren betroffen sondern über 100, so der Chaos Computer Club (CCC). In einer Pressemitteilung, durch die der CCC, die Datenschutz-NGO Epicenter.works aus Österreich und Erforschung die Lücke bekannt machte, heißt es weiter: „Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas“. Zunächst erfolgte die Meldung natürlich an Medicus.ai, welche die Sicherheitslücke nun beseitigt haben will, auch das BSI (Bundesamt für Sicherheit und Informationstechnik) und das CERT.at wurden über das Sicherheitsleck in Kenntnis gesetzt.
Der Sprecher des CCC Linus Neumann verwies auch auf die Schwachstellen im vergangenen Jahr: „Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“. Neumann kritisierte auch: „Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als Nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt“. Die Projektgruppe von Zerforschung hofft unterdessen, dass die offensichtlichen Schwachstellen nicht bereits von anderen ausgenutzt wurden. Das Vertrauen in die Datensicherheit muss nun erst einmal wieder aufgebaut werden. Dazu schreibt Zerforschung: „Ein Teil des Vertrauens würde sich auch wieder gewinnen lassen, wenn staatliche Stellen nicht alles einfach nur deswegen einkaufen, weil AI oder Blockchain draufsteht“.
