Weitere Sicherheitslücken in Corona-Testzentren

Mit den Sicherheitslücken bei den Corona-Testzentren geht es weiter. Die Sicherheitsexperten von Zerforschung konnten ohne großen Aufwand auf ca. 174.000 Buchungsbestätigungen und Testergebnisse von 34 Testzentren zugreifen.

Konzeptionelle Schwächen

Es ist nicht das erste mal, dass die Experten von Zerforschung auf die Daten von Corona-Testzentren zugreifen können. Nach Informationen des Hacker-Kollektivs weist das Software-Konzept der Corona-Testzentren konzeptionelle Schwächen auf. Dadurch war es Zerforschung bereits zum fünften Mal möglich auf Namen, Adressen und auch Ausweisnummern zuzugreifen. Dabei soll es diesmal garnicht nötig gewesen sein, zu hacken, die Daten gab der Coronapoint anscheinend relativ leicht heraus.

Coronapoint Testzentren

Die betroffenen Testzentren werden von der Kölner Firma PAS Solution betrieben. Insgesamt handelt es sich um 34 Testzentren die unter dem Namen Coranapoint laufen. Bei einer solchen Anzahl an betroffenen Testzentren sind natürlich auch entsprechend viele Daten vorhanden, die hier durchlaufen und auch gespeichert werden. Die Hacker von Zerforschung berichten über den leichten Zugang in einem Blogbeitrag, in welchem sie auch ihre Vorgehensweise und die Reaktionen von PAS Solutions wiedergeben. Dabei wurde klar, dass die Probleme eher sporadisch und notdürftig behoben wurden.

Durch die mangelnde Sicherheit wird dadurch natürlich Betrügern und anderen Kriminellen ein einfaches Spiel ermöglicht. Identitäten können gestohlen werden und auch andere Arten von Betrug mit den Daten wird möglich. Bei dem Test der Sicherheitsforscher konnten diese auf ungefähr 174.000 nicht ordentlich gesicherte Buchungsbestätigungen und auch Testergebnisse zugreifen. Unter diesen Daten befanden sich allerhand Informationen, wie Namen, Adressen, Telefonnummer, E-Mail-Adressen und auch die Geburtsdaten der Betroffenen. Wurden von den Betroffenen die Felder mit der Ausweisnummer ausgefüllt, so konnten auch diese Daten eingesehen werden. Mit derartigen Daten wäre es Kriminellen möglich ohne Probleme Identitätsdiebstahl und andere Arten von Betrug zu begehen.

Die Sicherheitslücke wurde inzwischen von Coronapoint geschlossen und bestand nach deren Angaben für zehn Tage. Sieht man sich einmal den Bericht der Sicherheitsforscher von Zerforschung an, stellt man relativ schnell fest, dass die Software konzeptionelle Schwächen aufweicht. So ist es eher unwahrscheinlich, dass die Lücken, wie nach den Angaben der Betreiber, nur für zehn Tage bestanden.

Mehrere Probleme mit der Software

Die Sicherheitsforscher stellten auch fest, dass es sich hier nicht nur um ein Problem in der Software von Coronapoint handelt. So sind hier wohl mehrere Probleme vorhanden. Schon die Passwortsicherheit ist mangelhaft, so werden nur alphanumerische Passwörter mit vier Stellen, für den Zugang zum Nutzer-Account, verwendet. Das entspricht nicht einmal annähernd den Standards für Passwortsicherheit und damit sind die Passwörter für die Nutzerkonten sehr einfach zu knacken. Wobei dies in diesem Fall nicht einmal nötig war, hier reichte es aus, die richtige E-Mail-Adresse einzugeben und dann die Funktion „Passwort vergessen“ zu klicken. Um an das Passwort zu kommen musste man dann nur noch den entstehenden Datenverkehr mitlesen, denn die Passwörter wurden von Coronapoint im Klartext versendet. Die Datensicherheit ist also schon sehr fragwürdig.

Abgesehen davon wurden die Buchungsnummern einfach nach oben gezählt, so dass eine ganze Masse an Daten von Betroffenen abgefragt werden konnten. Dies funktionierte bei den Testergebnissen wie auch bei den Buchungsbestätigungen. Die Schwachstelle wurde dann über das Bundesamt für Sicherheit in der Informationssicherheit (BSI) an den Betreiber der Testzentren gemeldet, jedoch bestand dann Lücke weiterhin, obwohl der Betreiber alle Probleme beseitigt haben wollte.

Politik muss handeln

Das Team von Zerforschung fordert aufgrund des unbedachten Umgangs mit den Sicherheitslücken und den Daten der Betroffenen ein Handeln der Politiker. Die Datenschutzbehörden brauchen mehr Personal. Betrachtet man, dass für die über 1.300 Testzentren lediglich eine Person zuständig ist, wird klar, dass das zu wenig ist und einfach nicht funktionieren kann. Das Hacker-Kollektiv sagt zu dem Umgang: „Aus unserer Sicht darf das nicht sein, dass sich die Mehrheit der Testzentren nicht an Gesetze halten – und dass das von Ehrenamtlichen aufgedeckt werden muss, weil in den zuständigen öffentlichen Stellen die Ressourcen fehlen, um dies zu kontrollieren. Denn wo Kontrollen fehlen, gib es auch keine Konsequenzen, und so scheint der Datenschutz auch die Betreiber der Testzentren nicht zu interessieren.“ Dass hier ein Handeln notwendig ist, sollte jedem klar sein, gerade bei solch sensiblen Daten, kann der Datenschutz nicht so lax betrieben werden.