Corona-Schnelltests - Schwere Sicherheitslücke bei sensiblen Daten Tausender Berliner
Das Startup 21DX testet Berlinerinnen und Berliner auf Sars-Cov-2. Doch die Firma hatte ein derart großes Datenleck, dass zeitweise Name, Adresse, Testergebnisse und weitere sensible Daten von Tausenden im Netz verfügbar waren. Von Haluka Maier-Borst
Auch in der Misere kann man Schönheit finden. Neben der Spree in Berlin-Mitte liegt eine der Corona-Schnellteststationen der Firma 21DX. Zwar ist auch hier das Prozedere mit den Stäbchen nicht weniger schmerzhaft. Aber neben der Test-Gewissheit gibt es hier noch den Blick auf Kanzleramt, Reichstag und Fernsehturm.
Schnelltests sollen dabei helfen Infektionsketten zu unterbrechen, noch bevor sich die Intensivstationen wieder mit Covid-19-Erkrankten füllen. Doch nun zeigt sich, dass 21DX, einer der größten Anbieter der Tests in Berlin, ein massives Problem hatte: ein schwerwiegendes Datenleck.
Laut einer Analyse des IT-Kollektivs "Zerforschung" und des Chaos Computer Club (CCC) lagen für Tausende von Getesteten hochsensible Daten schlecht gesichert im Netz [ccc.de]. Diese Analyse liegt rbb|24, der "Süddeutschen Zeitung" und dem österreichischen "Standard" exklusiv vor.
Von der Adresse über Handynummer bis zum Testergebnis – alles abrufbar
Gemäß des Berichts der IT-Sicherheitsforscher, der auch an das Bundesamt für Sicherheit in der Informationstechnik(BSI) ging, brauchte es für den Zugang zu den Daten nicht viel. Der Authentifizierungsschlüssel konnte mit ein bisschen Know-How aus dem Browser ausgelesen werden. Und indem man die URL ein wenig veränderte, konnte man für jede getestete Person eine Art Attest abrufen.
Das Attest umfasste dabei:
- Name
- Geschlecht
- vollständige Adresse
- Geburtsdatum
- Staatsbürgerschaft
- Handynummer
- E-Mail-Adresse
- Datum und Uhrzeit der Probenahme, Probentyp und Befund
Teilweise waren dabei auch noch Reisepass und Ausweis-Nummer angegeben. Dass die Existenz der Sicherheitslücke "theoretisch korrekt" sei, bestätigte Martina Steiner-Samwer, die Geschäftsführerin von 21DX. Die österreichische Firma Medicus AI, die die Software für 21DX bereit stellt, bestätigte das Leck ebenfalls und betonte aber, dass man die Sicherheitslücke bereits geschlossen habe.
Dennoch: das Ausmaß der Datenpanne könnte gewaltig sein, auch weil die Sicherheitslücke laut Angaben von Medicus AI seit "Mitte Februar" durch ein Update bestand.
Die Sicherheitsforscher von "Zerforschung" und CCC gehen davon aus, dass man auf Ergebnisse und die zugehörigen Daten von bis zu 136.000 Tests zugreifen konnte. Dafür spricht, dass diese Zahl auf einer Übersichtsseite der Datenbank von Medicus AI zu sehen war und dass die Identifikationsnummer der Atteste durchnummeriert und aufsteigend waren.
Allerdings umfasst diese Zahl wohl nicht nur Berlin. Zum einen betreibt 21DX auch Standorte in anderen Teilen Deutschlands wie Bayern zum Beispiel. Zum anderen stammt die fehlerhafte Datenbank mit den Testergebnisse von der Firma Medicus AI, die auch noch andere Kunden hat.
Medicus AI rechnet derweil die Größe des Datenlecks anders. Erst spricht man davon, man wisse von "lediglich 6 Personen, die von dieser Lücke betroffen waren". Später erhöht sich die Zahl auf theoretisch 5.774 Testergebnisse, "weil es genau so viele Anfragen auf das System in dem Zeitraum gab, in dem die Lücke bestand." Gleichzeitig verneint man aber auch nicht, dass jedes der anderen tausend Testergebnisse in der Datenbank frei zugänglich war. Man hätte jedoch Maßnahmen um massenhafte Abfragen zu verhindern, erklärt Medicus AI. Im Klartext heißt das: jedes der 136.000 Testergebnisse hätte ausgelesen werden können – aber wohl nicht alle auf einmal.
Die Situation ist in Berlin indes auch brisant, weil dort 21DX maßgeblich an der Infrastruktur von mehreren Testzentren beteiligt ist. So erklärt die Senatsverwaltung Gesundheit auf Anfrage, dass 21DX als Dienstleiter auf Anweisung des Senats handele und die Seiten test-to-go.berlin und testen-lernen.berlin programmiert habe, über die sich Bürgerinnen und Bürger zum Testen anmelden können. Auf der Seite test-to-go.berlin gibt das Unternehmen sogar an, rund ein Dutzend der gelisteten Stellen selbst zu betreiben und nicht nur beteiligt zu sein.
Die Sicherheitsforscher konnten zudem noch zwei weitere Probleme ausfindig machen. Zum einen ließen sich, sofern man getestet war, problemlos Daten des eigenen "Attests" verändern. Vom Namen bis hin zur angegebenen Passnummer konnten Nutzerinnen und Nutzer ihr Test-Zertifikat in vielen Punkten anpassen und somit nach Belieben andere Test-Zertifikate generieren.
Außerdem war es problemlos möglich, von den Servern, der die Testergebnisse speichert, auch Fotos der Tests mit QR-Code und Namen des Getesteten abzugreifen. Beide Lücken bestätigt Medicus-AI, betont aber auch, dass diese behoben seien.
Zudem besteht man die Firma in ihrer Stellungnahme allerdings darauf, dass all diese Sicherheitslücken nur "theoretisch" nutzbar gewesen seien. "Wir konnten zum Glück zu dem Ergebnis kommen, dass es keinerlei unerlaubte Zugriffe bis auf die des BSI (welche die Lücke detektiert haben) gab", schreibt die Firma. Das widerspricht der Darstellung von Zerfoschung, CCC und verschiedenen Belegen, die SZ, Standard und rbb|24 vorliegen.
Die Bewertung des Datenlecks ist darum recht ernüchternd. Ein Mitglied von Zerforschung sagt: "Im Grunde haben die alles einmal mitgenommen. Nahezu alle Sicherheitslücken, die wir uns vorstellen können, haben wir auch gefunden. Die Authorisieriungsprozesse waren hochgradig mangelhaft."
Das BSI bestätigt derweil die Statements von 21DX und Medicus AI zum Auftauchen der Lücke und ergänzt: "Das BSI begleitet den Vorgang weiterhin in engem Austausch mit dem betroffenen Unternehmen und hat darüber hinaus auch internationale Partner gezielt über den Sachverhalt informiert." Womöglich können also von der deutschen Datenpanne auch andere Länder lernen.
