Massive Sicherheitslücke bei Corona-Teststationen
Das IT-Kollektiv "Zerforschung" hat bei Anbietern von Corona-Tests gewaltige Sicherheitslücken gefunden. Die Folge: Es ließen sich für hunderttausende Getestete Daten abrufen und sogar Testergebnisse beliebig generieren. Von Haluka Maier-Borst
Mehrere Corona-Test-Anbieter, die sich unter dem Namen "Schnelltest Berlin" zusammengetan haben, haben wohl über Monate eine höchst problematische IT-Lösung genutzt, was zu einer massiven Datenpanne geführt hat.
Es ist nicht die erste IT-Sicherheitslücke im Zusammenhang mit Corona und es wird wohl auch nicht die letzte gewesen sein. Aber in dieser Kombination ist sie besonders dramatisch. Denn so waren nicht nur Daten von hunderttausenden Getesteten abrufbar, sondern auch Test-Ergebnisse manipulierbar.
Von mindestens 200.000 Getesteten waren Name, Adresse, Geburtsdatum, Telefonnummer und weitere Angaben neben dem Testergebnis öffentlich abrufbar. Die Betroffenen sind dabei nicht nur aus Berlin sondern wohnen auch in dutzenden, anderen Ländern – wahrscheinlich handelt es sich um Touristen und Touristinnen oder Geschäftsreisende.
Die unsichere IT-Struktur ermöglichte aber auch das digitale Umschreiben von Testzertifikaten oder gar das Erstellen von vollkommen neuen Bescheiden. Konkret hätten sich also Menschen mit entsprechenden IT-Kenntnissen einen negativen PCR-Nachweis nach Belieben erstellen können – ohne je einen Test gemacht zu haben.
Entdeckt wurden die verschiedenen Sicherheitslücken vom IT-Kollektiv "Zerforschung"[zerforschung.org], das auch bei anderen Testanbietern schon Schwachstellen gefunden hat. Doch auch für die IT-Experten ist das Ausmaß der Datenpanne neu. Selbst einfache Sicherheitsmaßnahmen wie zum Beispiel Authentifizierungsmechanismen seien gar nicht oder nicht korrekt umgesetzt worden. Problemlos konnte sich das Kollektiv zum Beispiel einen negativen PCR-Bescheid auf den Namen "Robert Koch" ausstellen.
Ein Mitglied der Gruppe, das anonym bleiben will, führt aus: "Laut unseren Erkenntnissen sind es zum einen 700.000 Testergebnisse, rund 400.000 Betroffene, das ist schon eine vollkommen neue Größenordnung. Und dazu kommt eben, dass man sich einfach negative Testergebnisse erzeugen konnte. Das haben wir so noch nicht gesehen." Auf Nachfrage bestätigt die Landesdatenschutzbeauftragte von Berlin zumindest eine Zahl von mehr als 200.000 Betroffenen.
Das Unternehmen WeCare Services, das federführend die IT-Infrastruktur für die Testanbieter von Schnelltest Berlin betreibt, erklärt auf Nachfrage, dass die Sicherheitslücken inzwischen geschlossen sei. Ferner sei man dabei mit IT-Forensikern den Vorfall aufzurollen und plane Ende kommender Woche die Betroffenen zu informieren. Neben den meist leuchtend orange verkleideten 15 Testzentren in Berlin sind von der Datenpanne auch die mobilen Corona Bike Testpoints betroffen, die zum Beispiel auch Club- und Konzertgäste häufig genutzt haben.
Dass Testzentren oftmals ungenügende Vorkehrungen bei der IT-Sicherheit treffen, zeigt sich nicht nur in den Berichten auf rbb|24 und anderen Medien[tagesspiegel.de] über Datenpannen. Selbst der Präsident des Bundesamt für Sicherheit in der Informationstechnik (BSI) räumte ein, dass man zwar im Gesundheitssektor in Deutschland grundsätzlich hohe Standards bei der IT-Sicherheit pflege, gleichwohl bei Corona-Testzentren dies mitunter nicht der Fall sei.
Die Mitglieder von Zerforschung kritisieren den laxen Umgang der Testzentren mit den Daten. "Im konkreten Fall scheint es, als hätte der Anbieter keinerlei Verständnis von Grundlagen der IT-Sicherheit - oder er hielt das Sicherheitsmaßnahmen für unnötig", so das Kollektiv. Hätte man diese von Anfang an berücksichtigt, wäre der Aufbau einer sicheren Datenbank mit einem Aufwand von ein paar Tagen verbunden gewesen. Doch Zerforschung sieht auch auf Behördenseite ein Problem.
"Gesundheitsdaten sind aus gutem Grund besonders schützenswert. Tatsächlich fehlen aber den Datenschutzbehörden die Ressourcen, um zum Beispiel selbst zu prüfen, ob die Testzentren damit gut umgehen", sagt die Gruppe.
Ferner seien auch die Konsequenzen für den unsicheren Umgang mit Daten gering. Selbst wenn eine Behörde ein Vergehen finde, seien die Geldstrafen für die betroffenen Unternehmen niedrig. Darum seien es auch immer und immer wieder dieselben Fehler, die auftreten würden.
"Fehler beim Datenschutz sind so weit verbreitet, dass wir uns nur auf die besonders problematischen Fälle fokussieren, so wie hier, eine komplett offen stehende Datenbank", sagt ein weiteres Mitglied von Zerforschung. Eine baldige Besserung der Situation sehen die IT-Sicherheitsforscher:innen nicht.
Sendung:
Artikel im mobilen Angebot lesen