Massive Sicherheitslücke bei Corona-Teststationen - Daten von hunderttausenden Getesteten abrufbar - Test-Ergebnisse manipulierbar

Mi 10.11.21 | 06:17 Uhr
  32
Symbolbild: Passanten laufen in Berlin an einer Corona-Teststation vorbei. (Quelle: dpa/C. Soeder)
Video: Abendschau | 10.11.2021 | Anna-Maria Deutschmann | Bild: dpa/C. Soeder

Das IT-Kollektiv "Zerforschung" hat bei Anbietern von Corona-Tests gewaltige Sicherheitslücken gefunden. Die Folge: Es ließen sich für hunderttausende Getestete Daten abrufen und sogar Testergebnisse beliebig generieren. Von Haluka Maier-Borst

Mehrere Corona-Test-Anbieter, die sich unter dem Namen "Schnelltest Berlin" zusammengetan haben, haben wohl über Monate eine höchst problematische IT-Lösung genutzt, was zu einer massiven Datenpanne geführt hat.

Es ist nicht die erste IT-Sicherheitslücke im Zusammenhang mit Corona und es wird wohl auch nicht die letzte gewesen sein. Aber in dieser Kombination ist sie besonders dramatisch. Denn so waren nicht nur Daten von hunderttausenden Getesteten abrufbar, sondern auch Test-Ergebnisse manipulierbar.

Von mindestens 200.000 Getesteten waren Name, Adresse, Geburtsdatum, Telefonnummer und weitere Angaben neben dem Testergebnis öffentlich abrufbar. Die Betroffenen sind dabei nicht nur aus Berlin sondern wohnen auch in dutzenden, anderen Ländern – wahrscheinlich handelt es sich um Touristen und Touristinnen oder Geschäftsreisende.

Die unsichere IT-Struktur ermöglichte aber auch das digitale Umschreiben von Testzertifikaten oder gar das Erstellen von vollkommen neuen Bescheiden. Konkret hätten sich also Menschen mit entsprechenden IT-Kenntnissen einen negativen PCR-Nachweis nach Belieben erstellen können – ohne je einen Test gemacht zu haben.

Mal eben einen Test für "Robert Koch" erstellen

Entdeckt wurden die verschiedenen Sicherheitslücken vom IT-Kollektiv "Zerforschung"[zerforschung.org], das auch bei anderen Testanbietern schon Schwachstellen gefunden hat. Doch auch für die IT-Experten ist das Ausmaß der Datenpanne neu. Selbst einfache Sicherheitsmaßnahmen wie zum Beispiel Authentifizierungsmechanismen seien gar nicht oder nicht korrekt umgesetzt worden. Problemlos konnte sich das Kollektiv zum Beispiel einen negativen PCR-Bescheid auf den Namen "Robert Koch" ausstellen.

Ein Mitglied der Gruppe, das anonym bleiben will, führt aus: "Laut unseren Erkenntnissen sind es zum einen 700.000 Testergebnisse, rund 400.000 Betroffene, das ist schon eine vollkommen neue Größenordnung. Und dazu kommt eben, dass man sich einfach negative Testergebnisse erzeugen konnte. Das haben wir so noch nicht gesehen." Auf Nachfrage bestätigt die Landesdatenschutzbeauftragte von Berlin zumindest eine Zahl von mehr als 200.000 Betroffenen.

Das Unternehmen WeCare Services, das federführend die IT-Infrastruktur für die Testanbieter von Schnelltest Berlin betreibt, erklärt auf Nachfrage, dass die Sicherheitslücken inzwischen geschlossen sei. Ferner sei man dabei mit IT-Forensikern den Vorfall aufzurollen und plane Ende kommender Woche die Betroffenen zu informieren. Neben den meist leuchtend orange verkleideten 15 Testzentren in Berlin sind von der Datenpanne auch die mobilen Corona Bike Testpoints betroffen, die zum Beispiel auch Club- und Konzertgäste häufig genutzt haben.

Bundesamt: IT-Sicherheit bei Corona-Testzentren mitunter nicht hoch

Dass Testzentren oftmals ungenügende Vorkehrungen bei der IT-Sicherheit treffen, zeigt sich nicht nur in den Berichten auf rbb|24 und anderen Medien[tagesspiegel.de] über Datenpannen. Selbst der Präsident des Bundesamt für Sicherheit in der Informationstechnik (BSI) räumte ein, dass man zwar im Gesundheitssektor in Deutschland grundsätzlich hohe Standards bei der IT-Sicherheit pflege, gleichwohl bei Corona-Testzentren dies mitunter nicht der Fall sei.

Die Fehler sind so weit verbreitet, dass wir uns nur noch auf besonders problematische Lücken fokussieren – so wie hier.

Mitglieder von Zerforschung

Zerforschung: "Fehler sind weit verbreitet"

Die Mitglieder von Zerforschung kritisieren den laxen Umgang der Testzentren mit den Daten. "Im konkreten Fall scheint es, als hätte der Anbieter keinerlei Verständnis von Grundlagen der IT-Sicherheit - oder er hielt das Sicherheitsmaßnahmen für unnötig", so das Kollektiv. Hätte man diese von Anfang an berücksichtigt, wäre der Aufbau einer sicheren Datenbank mit einem Aufwand von ein paar Tagen verbunden gewesen. Doch Zerforschung sieht auch auf Behördenseite ein Problem.

"Gesundheitsdaten sind aus gutem Grund besonders schützenswert. Tatsächlich fehlen aber den Datenschutzbehörden die Ressourcen, um zum Beispiel selbst zu prüfen, ob die Testzentren damit gut umgehen", sagt die Gruppe.

Ferner seien auch die Konsequenzen für den unsicheren Umgang mit Daten gering. Selbst wenn eine Behörde ein Vergehen finde, seien die Geldstrafen für die betroffenen Unternehmen niedrig. Darum seien es auch immer und immer wieder dieselben Fehler, die auftreten würden.

"Fehler beim Datenschutz sind so weit verbreitet, dass wir uns nur auf die besonders problematischen Fälle fokussieren, so wie hier, eine komplett offen stehende Datenbank", sagt ein weiteres Mitglied von Zerforschung. Eine baldige Besserung der Situation sehen die IT-Sicherheitsforscher:innen nicht.

Sendung:  

Was Sie jetzt wissen müssen

32 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 32.

    Sie kommen nicht vom Wunschdenken runter - kann man ja machen, aber das Virus interessiert sich dafür nicht und nie und wütet weiter. Die Rechtslage ist noch diffus, wohingegen die Tendenzen zumindest mir eindeutig erscheinen:
    https://www.ndr.de/nachrichten/niedersachsen/hannover_weser-leinegebiet/Generalstaatsanwaelte-Impfpass-Faelschung-ist-strafbar,impfpass168.html
    https://www.aerzteblatt.de/nachrichten/128844/Strafbarkeit-von-Impfpassfaelschung-Regierung-kuendigt-Aenderung-an
    https://www.tagesschau.de/inland/impfung-zertifikat-faelschung-staatsanwaltschaft-101.html
    https://www.tagesschau.de/investigativ/report-mainz/faelschung-impfpass-101.html

    um nur einige diesbezügliche Links zu nennen... wer jetzt den Ernst der Lage begreift? Finde den Fehler

  2. 31.

    So wie sich die Beschreibung des Fehlers liest, lagen die Daten frei zugänglich im Netz [1]. Bildlich gesprochen hingen die Profile der Getesteten frei an einer Wandzeitung aus, vor jedem Profil hing noch ein Zettel mit einem Index zum Schutz vor Blicken. So würde man eine Personalkartei offline eher nicht führen.

    [1] https://zerforschung.org/posts/meinschnelltest/

  3. 29.

    Strafrechtliches Terrain wegen verweigerter Daten ?
    Es ist noch immer eine Ordnungswidrigkeit wenn man Daten nicht oder unvollständig angibt.
    Ihre Wunschvorstellung deckt sich nicht mit den Gesetzen.
    Und wie schon durch Gericht festgestellt, ist es nicht einmal eine Ordnungswidrigkeit, wenn man dem Apotheker ein gefälschtes Impfbuch vorlegt.

  4. 28.

    Wer jetzt Daten verweigert oder fälscht, begibt sich nicht nur auf strafrechtlilches Terrain, sonder heizt die ohnehin dramatische Lage sinnlos noch weiter an - auffallen scheint eben alles zu sein - egal mit auch immer welchen Folgen für einen selbst.

  5. 27.

    Was glaubt Ihr was mit euren Daten passiert wenn Ihr Euch als 3G Regel eintragen müsst?

  6. 26.

    Na prima und da wird immer gesagtman weiß nicht wieviele sch on geimpft sind, so gehts auch. Mit Datenlecks so groß wie Scheunentore, vielleicht sind ja auch noch die Kontonummern dabei zum bestellen im Darknet für schöne andere Sachen.

  7. 25.

    Und wer wird jetzt verurteilt? Hacken ist eine Straftat.
    Gut, dass ich mich nie testen lassen habe und seit 2019 im "Lockdown" bin. Restaurants wo ich hingehen tue wollen gar nichts sehen und nichts hören, das ist in Berlin durch RRG halt mangels Ordnung gewollt.

  8. 24.

    Ein Bekannter von mir kennt jemanden, der in einem Testcenter dieses Unternehmens gearbeitet hat. Scheinbar waren die Programmierer Studenten anfang 20. Aber mit Porsche. ;) Wirkte wohl alles von Anfang an ziemlich windig.

  9. 23.

    Jupp...nur das ich das schon lange nicht mehr mitnehme....

  10. 20.

    Wo immer sich Start-Up Unternehmen mit windigen Unternehmen auf eine Goldgrube stürzen kommt sowas bei raus. Siehe den gelungenen Kommentar # 8

  11. 18.

    Die "digital natives" sind vor allen Dingen digitale Analphabeten, die als Anwender Apps und Programme benutzen. Es sei denn, sie sind gut ausgebildete Informationswissenschaftler oder dual ausgebildete IT-Fachkräfte. Und all die Datensicherheitsskandale im Kontext Corona wurden von diesen Geborenen auf den Weg gebracht, die sich einen Dreck um die Rechte andere Leute scheren. Dafür aber hofiert und hochgejubelt werden.

    Jede Sekretärin, die in den 60 ern geboren wurde und sich erfolgreich in EDV eingearbeitet hat, versteht mehr von Datensicherheit als die DiNats. Und Herr Scholz, als 58 er Jahrgang mit naturwissenschaftlichen Interessen, wird sicherlich auch mehr kritischen Versand und digitale Enscheidungkompetenz aufbringen als diese ungebildeten Leute.

  12. 17.

    Lesen sie doch mal im Beitrag nach.... die Änderung der Daten ist möglich, sogar eine Ergebnis zu erstellen ohne jemals einen Test gemacht zu haben ist drin.
    Wer sein Auto nicht abschließt wird bestraft weil dadurch andere gefährdet werden.
    Wer Fälschung Tür und Tor öffnet muss nachbesser.
    Wer hätte gedacht dass Corona in allem neue Maßstäbe setzt.

  13. 16.

    Falsch. Die Ausgaben für IT-Sicherheit richten sich im kommerziellen Umfeld immer nach dem zu erwartenden (finanziellen) Schaden. Und wenn - wie im Artikel erwähnt - die Bussgelder so niedrig sind, rechnet sich damit halt eine Absicherung der Datenbank nicht. Wenn man sich auf Marktmechanismen verlässt, muss man damit rechnen. (oder auf altruistische und ethisch korrekte Unternehmer hoffen).

  14. 15.

    Müssen die Betroffenen nach so einem Vorfall gem. DSGVO informiert werden ?

  15. 14.

    Das eine hat doch mitdem anderen nixhts zu tun. Wer seine Daten nicht ordentlich schützt handelt ordnungswidrig. Wer durch Verwendung gefälschter Zertifikate Leben und Gesundheit seiner Mitmenschen in Gefahr bringt, handelt kriminell (und positioniert sich in meinen Augen asozial ausserhalb der Gesellschaft)

  16. 13.

    Datenschutz geht offensichtlich über alles. Man kann nicht einmal feststellen, wer geimpft oder getestet ist. Eine Steilvorlage für Betrüger.

Nächster Artikel