Sicherheitslücke bei Testanbieter in Berlin - Erneut tausende Corona-Getestete von Datenleck betroffen

Fr 09.04.21 | 06:10 Uhr | Von Haluka Maier-Borst und Eva Köhler
  35
Ein Doktor mit blauen Schutzhandschuhen führt bei einem Patienten mit einem Teststäbchen ein PCR-Test (Quelle: dpa/Fleig)
Audio: Inforadio | 09.04.2021 | H. Maier-Borst | Bild: dpa/Fleig

Wieder wurde bei einem Anbieter für Schnelltests ein Datenleck entdeckt. Betroffen sind Getestete in ganz Deutschland, darunter auch in Berlin. Die Corona-Krise offenbart damit ein grundsätzliches Problem mit dem Datenschutz. Von Haluka Maier-Borst und Eva Köhler

Die dritte Welle der Corona-Pandemie geht durchs Land und wieder verändert sich der Alltag. An vielen Straßenecken bilden sich Schlangen vor Apotheken, vor Ämtern, gar vor früheren Restaurants. Denn hier gibt es die Schnelltests, die man braucht, um zum Frisör oder zum Einkaufsbummel zu gehen.

Über Nacht ist eine komplette Branche entstanden, die einerseits das medizinische Wissen zu den Tests braucht und andererseits mit sensiblen Daten der Getesteten sicher umgehen muss. Doch genau an letzterem scheitern einige Testanbieter. So nun auch das Unternehmen Eventus Media International, das sich laut Handelsregister eigentlich um die "Vermarktung von Konsumerprodukten" kümmert.

Betroffen sind alleine vier Testzentren in Berlin

Eventus betreibt eine Art Franchise-Modell für Testzentren, vier davon gibt es in Berlin. Mit enthalten im Paket ist eine Datenbank für die Schnelltests, die so schlecht geschützt war, dass sich Adressen, Geburtsdaten, Telefonnummern, Mailadressen und Testergebnisse von tausenden Getesteten abrufen ließen. Gefunden hat diese Sicherheitslücke das IT-Kollektiv "Zerforschung". Es hat seine Analyse mit Journalistinnen und Journalisten von rbb, NDR und MDR geteilt.

Insgesamt sind demnach bundesweit mindestens 17.000 Registrierungen für Testtermine betroffen und rund 7.000 Testergebnisse, die eben auch Adressdaten und weitere Informationen umfassen. Die Firma erklärt auf Anfrage, dass die Sicherheitslücke inzwischen geschlossen sei. Zudem werde man in den nächsten Tagen die betroffenen Kunden auch einzeln anschreiben und diese über den Vorfall informieren.

"Gefundenes Fressen für Kriminelle"

Das Datenleck bei Eventus ist nicht der erste Fall einer Sicherheitslücke bei einem Corona-Test-Anbieter in Berlin. Zuvor war schon bei der Firma 21DX und ihrem Dienstleister Medicus Ai eine Sicherheitslücke aufgefallen, über die Daten von rund 130.000 Betroffenen abgerufen werden konnten.

Den Fund der aktuellen Sicherheitslücke bei Eventus beschreibt ein Programmierer von "Zerforschung" wie folgt: "Mit allen Testergebnissen hat es vielleicht eine halbe bis eine Stunde gedauert, bis wir das abgerufen hatten." Die Lücke zu finden sei tatsächlich relativ schnell gegangen. Hier habe jemand ganz offensichtlich nicht seine Hausaufgaben gemacht. "Das sind personenbezogene Daten. Die sind für Kriminelle, wenn die das vor uns gefunden haben, ein gefundenes Fressen", sagt er.

Wenn ich mir beim Testen nicht sicher sein kann, ob meine Daten nachher plötzlich offen im Netz liegen, ist das ein Riesenproblem.

Aussage eines Mitglieds von "Zerforschung"

Anbieter prüft möglichen Missbrauch

Auch der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, spricht von einer "gravierenden" Sicherheitslücke, da sie nach derzeitigem Kenntnisstand leicht auszunutzen gewesen sei und es zugleich um höchst persönliche Daten ging. Während es im Gesundheitswesen eine digitale Infrastruktur mit sehr hohen Sicherheitsanforderungen gebe, sei bei den Testzentren "dieses Niveau bisher nicht gesetzlich vorgeschrieben."

Sowohl das BSI als auch die Landesdatenschutzbeauftragten mancher Bundesländer bestätigen, dass es ähnlich gelagerte Vorfälle mehrfach gegeben habe. Das BSI hat unter anderem wohl auch deshalb eine Task-Force speziell zu Covid-19 bezogenen Datenschutzfragen ins Leben gerufen.

"Zerforschung" kritisiert derweil, dass Bürgerinnen und Bürger in eine Art Dilemma geraten: "Wir alle sollen und wollen uns testen lassen, um uns und andere zu schützen. Aber wenn dann solche Sicherheitslücken auftreten und ich mir beim Testen nicht mehr sicher sein kann, ob meine Daten nachher nicht plötzlich offen im Netz liegen, ist das ein Riesenproblem."

Eventus prüft derzeit laut eigenen Angaben, ob die betroffenen Daten "in irgendeiner Weise in Gefahr sind, durch Dritte missbraucht zu werden."

Sendung: Inforadio, 9.4.2021, 8 Uhr

Was Sie jetzt wissen müssen

Beitrag von Haluka Maier-Borst und Eva Köhler

35 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 35.

    "Luca wird dann das nächste Desaster was Gerichte kassieren werden. Vermute ich mal bei den ganzen Sicherheitslücken die bisher schon bekannt sind." Und das freut dann so kleine Verschwörungsheinis... *facepalm*

  2. 34.

    Weil unter 100% Sicherheit nix geht.
    Auch geimpfte müssen sich testen lassen und Maske tragen.
    Die qm Regelung macht die Politik jedes Jahr wieder und jedes Jahr wird sie von Gerichten gekippt.
    Da es sich aber immer um Verordnungen handelt gilt das immer nur für den Kläger und zumindest in Berlin scheint man so zu verfahren .... soll doch erstmal jeder vor Gericht ziehen bis wir da was ändern.
    Das war letztes Jahr bei der Sperrstunde so und dieses Jahr ist es mit den Schulklassen 7-9 so.
    Auch sind bisher diverse Ausgangssperren in diversen Bundesländern von Gerichten gekippt worden und auch da macht man einfach weiter.
    Luca wird dann das nächste Desaster was Gerichte kassieren werden. Vermute ich mal bei den ganzen Sicherheitslücken die bisher schon bekannt sind.

  3. 33.

    "temporäre Pseudonyme erstellen, die durch den digitalen Ausweis generiert werden"

    Ab hier ist es sinnlos weiter zu lesen, denn es kann nur noch datenschutzrechlicher Müll kommen! Sobald man irgend etwas mit dem "digitalen" Ausweis verknüpft, ist es NIE mehr irgendwie anonym oder pseudonym!

    Wozu ist es wichtig zu wissen WER eine Infektion/Impfung hat? WICHTIG ist allen Leuten eine Impfung bereit zu stellen und infizierten Menschen die notwendige medizinische Versorgung zur Verfügung zu stellen!

    Wenn man genau das macht, ist es völlig egal WER welche Leistung bekommen hat!

    Niemand - außer die herschende Kaste - benötigt einen Impfpass (oder sonstigen Datenschwachsinn), wenn die obigen 2 Bedingungen erfüllt werden.

    Wenn sich > 80% der Leute impfen lassen, werden die verbliebenen 20 Prozent rein biologisch geschützt!

    Beste Grüße

  4. 32.

    Diese verdammte Hektik verursacht Pfusch an allen Ecken ... Eine Speicherung bestimmter Daten scheint für die (Senats-)Abrechnung notwendig zu sein. Aber so viele persönliche Daten sind wirklich ... dämlich ... Telefon, E-Mail ... Für einen Zettel?! ... So ein unüberlegter Mist ... Großer Dank an die Jungs und Mädels von Zerforschung!

  5. 31.

    Wieso müssen da überhaupt persönliche Daten gespeichert werden? Abfragen ja aber speichern?
    Auf dem Testzertifikat steht der Name, Geburtsdatum und Anschrift als personengebundene Daten.
    Warum gibt es Datenfelder für Telefon oder Mailadresse?
    Warum müssen die in einer Datenbank gespeichert werden, wenn doch nur das Zeugnis auf Papier das Ziel der Übung ist und dieses nach 24 Stunden praktisch wertlos ist.
    Für Erhebung von Positiv/negativ Quoten brauch man doch keinen Namen, positiv muss ja zum Gesundheitsamt bzw. PCR.

  6. 30.

    "Eventus prüft derzeit laut eigenen Angaben, ob die betroffenen Daten "in irgendeiner Weise in Gefahr sind, durch Dritte missbraucht zu werden."

    Der 1. April ist aber schon ein paar Tage vorbei...

  7. 29.

    Bei analogen Fehlern sehen Sie es oftmals. Digitale Lecks sind für den Kunden meist nicht zu erkennen und kommen erst heraus, wenn es zu spät ist. Auf analoge kann man vor Ort noch hinweisen. Und die gehen nicht viral ... Was im WWW ist bleibt auch da.

  8. 28.

    Das Zettelprinzip find ich eigentlich am besten. Analoge Daten sind schlechter zu mopsen.
    Aber wenn die dann natürlich frei lesbar sind und gar falsch ausgehändigt werden, ist es natürlich Käse.
    Bei meinem Orthopäden sind die Sprechzimmer oben offene Kabinen. Da durfte ich mir auch schon die Schilderung des Sportunfalls vom Nebenmann anhören. Datenschutz ist leider oft nur ein Lippenbekenntnis....
    (PS: Wundert mich, dass der RBB Ihren Beitrag gleich drei Mal freigeschaltet hat.... )

  9. 27.

    Da kann man sich ja fast glücklich schätzen, wenn man noch keinen Testtermin bekommen hat!

  10. 26.

    Der mangelnde Datenschutz beginnt in den Teststellen. Wir haben uns diese Woche testen lassen. Das Ganze fand in Zelten statt, man konnte zig Namen, Adressen, Geburtsdaten auf den rumliegenden Blättern lesen und MEIN Testergebnis mitsamt meiner Daten wurde einer anderen Testperson mitgegeben. Das Gleiche passierte erneut, als ich auf mein zweites Ergebnis wartete.
    Ja, da kommt Vertrauen auf.

  11. 25.

    Ich verstehe die Geschäftsidee dieses Unternehmens nicht: Wer soll denn die ganzen Datensätze hinterher für teuer Geld noch kaufen, wenn man sie vorher unentgeltlich ins Netz stellt? Das ist doch geschäftsschädigend.

    /Ironie aus/

    Schade, dass immer nur die Betriebsunfälle, technischen Ahnungslosigkeiten und zufällig entdeckten Lücken auftauchen. Das "echte" Datenbusiness bleibt gut verborgen und dürfte vermutlich noch ganz andere Größenordnunen haben.

  12. 24.

    Und mit "seriöse Anbieter" meinen sie dann hoffentlich nicht die Betreiber von Impfterminen namens Eventeam, die ungeimpfte zahlende Kunden von Ihren Konzerten aussperren wollen?

  13. 23.

    Die Tests müßten solange ausgesetzt werden, bis man seriöse Anbieter gefunden hat. Eine kleine Recherche über diese "Firma" bringt erschreckendes zu Tage.

    https://www.tagesschau.de/investigativ/ndr/datenleck-corona-test-101.html

  14. 22.

    Wenn der Schnelltest eine angebliche Korrektheit von 95,6 Prozent bis 95,8 Prozent aufweist - frage ich Sie:
    Wozu braucht es dann noch die Masken??? Ist der Schnelltest möglicherweise doch nicht so effektiv???

    Wenn doch die Masken angeblich so wunderbar schützen, wozu braucht es dann trotz FFP2 Maskerade im
    Einzelhandel noch die Schnelltests u. die Kontaktdaten??? Sind die Masken vielleicht doch nicht so wirkungsvoll??

    Nur mal so ne Frage, die mir durch den Kopf geht.

    Und noch eine Frage:
    Warum brauche ich im Schuhgeschäfte Maske, Abstand, Kontaktdaten, Termin und Negativtest
    aber in der Drogerie nur Maske und Abstand???

    Ist der RENO mit 350 qm gefährlicher als der DM mit 220 qm und der Rossman mit 170 qm ??
    Bitte um Aufkärung!

  15. 21.

    Der Staat könnte als Pseudonymisierungsdienstleister und für jeden Bürger mit Hilfe der digitalen Technik temporäre Pseudonyme erstellen, die durch den digitalen Ausweis generiert werden. Der Anbieter bekommt so keine persönlichen Daten, sondern einen Schlüssel, der zeitlich oder funktional begrenzt ist und den Bürger identifizieren kann wenn beide Daten zusammengeführt werden. Man müsste so auf beiden Seiten Daten stehlen um ein nutzbaren Datensatz daraus zu erstellen. Auf dieser Basis könnte der Staat dann private Pseudonymisierungsdienstleister zertifizieren, so dass der Dienstleister ein Pseudonym erstellen kann, welches dann der Staat selbst nicht auflösen kann. So wird das ganze sehr dezentral und einzelne Datensätze wertlos.
    Das ist allerdings Utopie, da das Internet wohl auch 2021 immer noch neu im Land Deutschland ist. Unsere Autos erfahren immer noch mehr Zuwendung als ein digitale Infrastruktur. Das 5G Netz soll ja auch vorrangig für autonomes Fahren genutzt werden.

  16. 20.

    Kaum zu glauben wie man mit persönlichen Daten umgeht hier ist Verbrechen Tür und Tor geöffnet. Soviel zum Datenschutz in diesem Land.

  17. 19.

    Ich glaube vielen ist gar nicht bewusst, dass der größte Daten GAU uns noch bevorsteht. Die unnötige komplette Digitalisierung wird uns eines Tages überrollen.

  18. 18.

    In den USA sind die Tests anonym.... Da stellt man sich an, bekommt einen QR Code zum Abrufen des Ergebnisses. Keine Daten. Nur eine anonyme Nummer mir Ergebnis. Selbst wenn ein Dritter das mit dem Code abruft, weiß er nicht, wer sich da hat testen lassen. Nur mal so zum Thema Datenschutz. Die USA planen auch keinen Impfausweis bzw, eine Datenbank über Geimpfte.

  19. 17.

    Ich finde das ganze Verfahren zur Registrierung etwas umständlich.Und ich will auch nicht in irgendeine DoctorApp einloggen müssen, die auch alle anderen Untersuchungen speichern will.Ich bin bei der TK App und bleibe auch dort, weiß aber nicht, wie die testergebnisse dorthin gelangen sollen, dafür gibt es eine andere App.Vor lauter Registrierungen und Login wird man langsam durcheinander.

  20. 16.

    Die Datenschutzerklärung ist wesentlich wichtiger als die Impfung selbst und bekommt allerhöchste Priorität. Man muss staunen und dankbar sein, dass die Erklärung nicht noch wochenlang geprüft wird, bevor zur eigentlichen Tat geschritten wird.

Nächster Artikel