Angesichts der in immer mehr Bereichen üblichen Testpflichten wird gelegentlich versichert, dass die dabei erhobenen Daten gegen Missbrauch geschützt seien. Jetzt berichtet der Chaos Computer Club (CCC) von einem unschönen Datenleck:
"Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis: Aufgrund einer Sicherheitslücke waren sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt über das Internet abrufbar. Betroffen sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen. Wir haben die Schwachstelle den zuständigen Behörden gemeldet.
Die Herausforderungen der COVID19-Pandemie offenbaren vielerorts Digitalisierungsmängel. Der akute Bedarf an digitalen Lösungen motiviert viele Unternehmen zu digitalen Schnellschüssen. Während am Horizont schon fragwürdige Konzepte für digitale Impfnachweise lauern, mussten chaotische Sicherheitsforscherinnen erst einmal zehntausende Testergebnisse samt persönlicher Daten in Sicherheit bringen."
Nach CCC-Angaben habe das Wiener Unternehmen medicus.ai unter dem Namen safeplay eine "Rundum-Sorglos-Website" für Testzentren zur Verfügung gestellt, die zwar von der Terminbuchung bis zum Online-Testzertifikat alles biete, allerdings keine angemessene IT-Sicherheit: Wer einen Account auf der Plattform angelegt habe, hätte ungehindert sämtliche Testergebnisse und personenbezogenen Daten anderer Nutzer einsehen können.
Sicherheitsforscherinnen der Chaosgruppe Zerforschung hätten diese Schwachstelle nach einem Besuch in einem Berliner Testzentrum entdeckt. Die Software safeplay von medicus.ai komme aber nicht nur in Berlin zum Einsatz, sondern bei über 100 Testzentren und mobilen Test-Teams. Darunter befänden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und Kitas.
Um die vollständigen Daten aller Getesteten live einsehen zu können, hätte man sich nach CCC-Angaben nur einen Account für einen Covid-19-Test zulegen müssen. Die URL für das Testergebnis habe die Nummer des Tests enthalten. Wer diese Zahl einfach hoch- oder herunterzählte, für den waren die "Testzertifikate" anderer Personen frei zugänglich. In diesen Testzertifikaten stünden neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen.
Auch habe man über ein mit jedem Account ungehindert zugängliches Dashboard sekundengenau für jedes Testzentrum einsehen können, wann dort ein Covid-19-Test gemacht worden sei und welches Ergebnis dieser hatte.
"Wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt.", habe Linus Neumann vom CCC diesen Vorgang kommentiert.
