Sicherheitslücke bei Testanbieter in Berlin
Wieder wurde bei einem Anbieter für Schnelltests ein Datenleck entdeckt. Betroffen sind Getestete in ganz Deutschland, darunter auch in Berlin. Die Corona-Krise offenbart damit ein grundsätzliches Problem mit dem Datenschutz. Von Haluka Maier-Borst und Eva Köhler
Die dritte Welle der Corona-Pandemie geht durchs Land und wieder verändert sich der Alltag. An vielen Straßenecken bilden sich Schlangen vor Apotheken, vor Ämtern, gar vor früheren Restaurants. Denn hier gibt es die Schnelltests, die man braucht, um zum Frisör oder zum Einkaufsbummel zu gehen.
Über Nacht ist eine komplette Branche entstanden, die einerseits das medizinische Wissen zu den Tests braucht und andererseits mit sensiblen Daten der Getesteten sicher umgehen muss. Doch genau an letzterem scheitern einige Testanbieter. So nun auch das Unternehmen Eventus Media International, das sich laut Handelsregister eigentlich um die "Vermarktung von Konsumerprodukten" kümmert.
Eventus betreibt eine Art Franchise-Modell für Testzentren, vier davon gibt es in Berlin. Mit enthalten im Paket ist eine Datenbank für die Schnelltests, die so schlecht geschützt war, dass sich Adressen, Geburtsdaten, Telefonnummern, Mailadressen und Testergebnisse von tausenden Getesteten abrufen ließen. Gefunden hat diese Sicherheitslücke das IT-Kollektiv "Zerforschung". Es hat seine Analyse mit Journalistinnen und Journalisten von rbb, NDR und MDR geteilt.
Insgesamt sind demnach bundesweit mindestens 17.000 Registrierungen für Testtermine betroffen und rund 7.000 Testergebnisse, die eben auch Adressdaten und weitere Informationen umfassen. Die Firma erklärt auf Anfrage, dass die Sicherheitslücke inzwischen geschlossen sei. Zudem werde man in den nächsten Tagen die betroffenen Kunden auch einzeln anschreiben und diese über den Vorfall informieren.
Das Datenleck bei Eventus ist nicht der erste Fall einer Sicherheitslücke bei einem Corona-Test-Anbieter in Berlin. Zuvor war schon bei der Firma 21DX und ihrem Dienstleister Medicus Ai eine Sicherheitslücke aufgefallen, über die Daten von rund 130.000 Betroffenen abgerufen werden konnten.
Den Fund der aktuellen Sicherheitslücke bei Eventus beschreibt ein Programmierer von "Zerforschung" wie folgt: "Mit allen Testergebnissen hat es vielleicht eine halbe bis eine Stunde gedauert, bis wir das abgerufen hatten." Die Lücke zu finden sei tatsächlich relativ schnell gegangen. Hier habe jemand ganz offensichtlich nicht seine Hausaufgaben gemacht. "Das sind personenbezogene Daten. Die sind für Kriminelle, wenn die das vor uns gefunden haben, ein gefundenes Fressen", sagt er.
Auch der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, spricht von einer "gravierenden" Sicherheitslücke, da sie nach derzeitigem Kenntnisstand leicht auszunutzen gewesen sei und es zugleich um höchst persönliche Daten ging. Während es im Gesundheitswesen eine digitale Infrastruktur mit sehr hohen Sicherheitsanforderungen gebe, sei bei den Testzentren "dieses Niveau bisher nicht gesetzlich vorgeschrieben."
Sowohl das BSI als auch die Landesdatenschutzbeauftragten mancher Bundesländer bestätigen, dass es ähnlich gelagerte Vorfälle mehrfach gegeben habe. Das BSI hat unter anderem wohl auch deshalb eine Task-Force speziell zu Covid-19 bezogenen Datenschutzfragen ins Leben gerufen.
"Zerforschung" kritisiert derweil, dass Bürgerinnen und Bürger in eine Art Dilemma geraten: "Wir alle sollen und wollen uns testen lassen, um uns und andere zu schützen. Aber wenn dann solche Sicherheitslücken auftreten und ich mir beim Testen nicht mehr sicher sein kann, ob meine Daten nachher nicht plötzlich offen im Netz liegen, ist das ein Riesenproblem."
Eventus prüft derzeit laut eigenen Angaben, ob die betroffenen Daten "in irgendeiner Weise in Gefahr sind, durch Dritte missbraucht zu werden."
Sendung: Inforadio, 9.4.2021, 8 Uhr
Beitrag von Haluka Maier-Borst und Eva Köhler
Artikel im mobilen Angebot lesen