Eine Mitarbeiterin der Betreiber-Firma 21Dx GmbH und ein Bürger stehen vor einem Corona-Schnelltestzentrum. (Quelle: dpa/Jörg Carstensen)
Audio: rbb | 18.03.2021 | Sebastian Schöbel | Bild: dpa/Jörg Carstensen

Corona-Schnelltests - Schwere Sicherheitslücke bei sensiblen Daten Tausender Berliner

Das Startup 21DX testet Berlinerinnen und Berliner auf Sars-Cov-2. Doch die Firma hatte ein derart großes Datenleck, dass zeitweise Name, Adresse, Testergebnisse und weitere sensible Daten von Tausenden im Netz verfügbar waren. Von Haluka Maier-Borst

Auch in der Misere kann man Schönheit finden. Neben der Spree in Berlin-Mitte liegt eine der Corona-Schnellteststationen der Firma 21DX. Zwar ist auch hier das Prozedere mit den Stäbchen nicht weniger schmerzhaft. Aber neben der Test-Gewissheit gibt es hier noch den Blick auf Kanzleramt, Reichstag und Fernsehturm.

Schnelltests sollen dabei helfen Infektionsketten zu unterbrechen, noch bevor sich die Intensivstationen wieder mit Covid-19-Erkrankten füllen. Doch nun zeigt sich, dass 21DX, einer der größten Anbieter der Tests in Berlin, ein massives Problem hatte: ein schwerwiegendes Datenleck.

Laut einer Analyse des IT-Kollektivs "Zerforschung" und des Chaos Computer Club (CCC) lagen für Tausende von Getesteten hochsensible Daten schlecht gesichert im Netz [ccc.de]. Diese Analyse liegt rbb|24, der "Süddeutschen Zeitung" und dem österreichischen "Standard" exklusiv vor.

Von der Adresse über Handynummer bis zum Testergebnis – alles abrufbar

Gemäß des Berichts der IT-Sicherheitsforscher, der auch an das Bundesamt für Sicherheit in der Informationstechnik(BSI) ging, brauchte es für den Zugang zu den Daten nicht viel. Der Authentifizierungsschlüssel konnte mit ein bisschen Know-How aus dem Browser ausgelesen werden. Und indem man die URL ein wenig veränderte, konnte man für jede getestete Person eine Art Attest abrufen.

Das Attest umfasste dabei:

- Name

- Geschlecht

- vollständige Adresse

- Geburtsdatum

- Staatsbürgerschaft

- Handynummer

- E-Mail-Adresse

- Datum und Uhrzeit der Probenahme, Probentyp und Befund

Teilweise waren dabei auch noch Reisepass und Ausweis-Nummer angegeben. Dass die Existenz der Sicherheitslücke "theoretisch korrekt" sei, bestätigte Martina Steiner-Samwer, die Geschäftsführerin von 21DX. Die österreichische Firma Medicus AI, die die Software für 21DX bereit stellt, bestätigte das Leck ebenfalls und betonte aber, dass man die Sicherheitslücke bereits geschlossen habe.

Dennoch: das Ausmaß der Datenpanne könnte gewaltig sein, auch weil die Sicherheitslücke laut Angaben von Medicus AI seit "Mitte Februar" durch ein Update bestand.

Die Sicherheitsforscher von "Zerforschung" und CCC gehen davon aus, dass man auf Ergebnisse und die zugehörigen Daten von bis zu 136.000 Tests zugreifen konnte. Dafür spricht, dass diese Zahl auf einer Übersichtsseite der Datenbank von Medicus AI zu sehen war und dass die Identifikationsnummer der Atteste durchnummeriert und aufsteigend waren.

Allerdings umfasst diese Zahl wohl nicht nur Berlin. Zum einen betreibt 21DX auch Standorte in anderen Teilen Deutschlands wie Bayern zum Beispiel. Zum anderen stammt die fehlerhafte Datenbank mit den Testergebnisse von der Firma Medicus AI, die auch noch andere Kunden hat.

Medicus AI rechnet derweil die Größe des Datenlecks anders. Erst spricht man davon, man wisse von "lediglich 6 Personen, die von dieser Lücke betroffen waren". Später erhöht sich die Zahl auf theoretisch 5.774 Testergebnisse, "weil es genau so viele Anfragen auf das System in dem Zeitraum gab, in dem die Lücke bestand." Gleichzeitig verneint man aber auch nicht, dass jedes der anderen tausend Testergebnisse in der Datenbank frei zugänglich war. Man hätte jedoch Maßnahmen um massenhafte Abfragen zu verhindern, erklärt Medicus AI. Im Klartext heißt das: jedes der 136.000 Testergebnisse hätte ausgelesen werden können – aber wohl nicht alle auf einmal.

Die Situation ist in Berlin indes auch brisant, weil dort 21DX maßgeblich an der Infrastruktur von mehreren Testzentren beteiligt ist. So erklärt die Senatsverwaltung Gesundheit auf Anfrage, dass 21DX als Dienstleiter auf Anweisung des Senats handele und die Seiten test-to-go.berlin und testen-lernen.berlin programmiert habe, über die sich Bürgerinnen und Bürger zum Testen anmelden können. Auf der Seite test-to-go.berlin gibt das Unternehmen sogar an, rund ein Dutzend der gelisteten Stellen selbst zu betreiben und nicht nur beteiligt zu sein.

Die Sicherheitsforscher konnten zudem noch zwei weitere Probleme ausfindig machen. Zum einen ließen sich, sofern man getestet war, problemlos Daten des eigenen "Attests" verändern. Vom Namen bis hin zur angegebenen Passnummer konnten Nutzerinnen und Nutzer ihr Test-Zertifikat in vielen Punkten anpassen und somit nach Belieben andere Test-Zertifikate generieren.

Außerdem war es problemlos möglich, von den Servern, der die Testergebnisse speichert, auch Fotos der Tests mit QR-Code und Namen des Getesteten abzugreifen. Beide Lücken bestätigt Medicus-AI, betont aber auch, dass diese behoben seien.

Zudem besteht man die Firma in ihrer Stellungnahme allerdings darauf, dass all diese Sicherheitslücken nur "theoretisch" nutzbar gewesen seien. "Wir konnten zum Glück zu dem Ergebnis kommen, dass es keinerlei unerlaubte Zugriffe bis auf die des BSI (welche die Lücke detektiert haben) gab", schreibt die Firma. Das widerspricht der Darstellung von Zerfoschung, CCC und verschiedenen Belegen, die SZ, Standard und rbb|24 vorliegen.

Die Bewertung des Datenlecks ist darum recht ernüchternd. Ein Mitglied von Zerforschung sagt: "Im Grunde haben die alles einmal mitgenommen. Nahezu alle Sicherheitslücken, die wir uns vorstellen können, haben wir auch gefunden. Die Authorisieriungsprozesse waren hochgradig mangelhaft."

Das BSI bestätigt derweil die Statements von 21DX und Medicus AI zum Auftauchen der Lücke und ergänzt: "Das BSI begleitet den Vorgang weiterhin in engem Austausch mit dem betroffenen Unternehmen und hat darüber hinaus auch internationale Partner gezielt über den Sachverhalt informiert." Womöglich können also von der deutschen Datenpanne auch andere Länder lernen.

Was Sie jetzt wissen müssen

Beitrag von Haluka Maier-Borst

49 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 49.

    Meine Daten möchte ich weder auf einem privaten Server (wie es in Kürze unter anderem bei Behördengängen mit der Luca App für Berlin geplant und in Mecklenburg Vorpommern bereits Praxis ist) noch leicht zugänglich auf der Internetseite eines Privatunternehmens, das im Auftrag des Senats, Test- oder Impfzentren betreibt, verwahrt wissen.

    Ich will mich impfen/testen lassen oder eine Behörde aufsuchen können, ohne Dritten sensible Daten zur Verfügung zu stellen.

  2. 48.

    Ich habe eben völlig problemlos meinen 1. Termin online für den kostenlosen Schnelltest am 03.04 in meiner Apotheke gemacht um am 04.04. etwas sicherer meine Mutter zu Ostern besuchen kann. Sie ist geimpft,ich warte noch auf meine Einladung ( Prio Gruppe 3). Kann also noch dauern. Da finde ich die Idee mit dem Test gut.


  3. 47.

    Datensammelwut? Naja, Corona Warn App eher nich so, und die Terminvergabe naja, da machts ja Sinn
    Meiner Meinung nach haben wir diesbzgl. nicht die schlechteste Wahl gehabt. Am Geld hat es nicht gelegen, tja. LOL
    OpenSource und auch mal auf Feedback hören, Gab diesen Hackathon we vs. virus vor einem Jahr, daraus ist nicht viel geworden obwohl tolle Projekte dabei waren. Schade. Viel Inkompetenz und Hierarchiegerangel, Lobbyismus und Korruption, alles dabei. Ich denk nur an die Maschmeyer-Datenspende-App damals, was für ein Hohn... Haha.

    So verbockt immer wieder, fragt man sich ob das nicht doch beabsichtigt war - weil so dämlich kann man sich eigentlich gar nicht anstellen. Aber am Ende denk ich schon, da bauen viele Leute immer wieder Scheisse oder wollen noch ein Schäfchen ins Trockene schieben und am Ende isses dann so ein kontinuielriches Versagen.
    Irgendwann wird es vorbei sein, mittlerweile zählt eh nur noch die Impfung. Haltet durch!

  4. 46.

    @ Falk: richtig. einfach solche Abfragen ignorieren oder kreativ werden. Warum braucht ein Versandhandel z.B das Geburtsdatum, wenn man nicht auf Rechnung kauft.
    Mein Arzt hat auch nicht meine Ausweisnummer und ich bekomme dort einen Test.
    Das Prinzip handhabe ich schon lange, seit ich mal eine Sicherheitslücke einer ausländischen Firma entdeckt habe. Da konnte man mit der Kundennummer ohne Verifizierung die Kundendaten abfragen.

  5. 45.

    Ich bin betroffen und hätte das eigentlich gerne vom Unternehmen erfahren, nicht erst aus der Presse.
    ein Hinweis und eine Entschuldigung fände ich nicht übertrieben.

  6. 44.

    @nopos: Ich glaub Ihnen, dass Sie meinen, nichts verbergen zu müssen. Aber spätestens wenn Kriminelle mit ihren Daten ein Konton eröffnen, einkaufen oder betrügen und die Staatsanwaltschaft an Ihre Tür klopft, werden Sie verstehen, warum das nicht clever ist, leichtfertig mit eigenen Daten umzugehen.

  7. 43.

    Was bitte hat die 21dx-Nummer mit LUCA zu tun? Von deiner Stimmungsmache mal abgesehen.
    Also ganz einfach erklärt:
    Der Berliner Senat hat ohne Hinweis zu einer Privatfirma verbunden. Der Link ging zu 21dx, welche als Unterdomain zu medicus.ai firmiert. .ai ist die ccTLD des britischen Überseegebietes Anguilla. Für die Domainvergabe war die Offshore Information Services ( http://offshore.ai/) zuständig. Ein überaus vertrauenswürdiges Konstrukt. Von dem plötzlich geänderten Impressum bei test-to-go mal abgesehn. Vorher stand hier 21dx drin - moment - eine Seite einer Privatfirma mit Senatslogo? Das mufft.
    Nochmal meine Frage: WAS hat das mit LUCA zu tun?
    Übrigens das Sicherheitskonzept von LUCA kann hier eingesehen werden:
    https://github.com/lucaapp/security-concept
    Fanboy ... pffft ... ich bin (manchmal) eine Lady, ab und an nervend aber echt.

  8. 42.

    Ich wundere mich über die Verwunderung einiger hier.
    Hat nicht die Kanzlerin mal vor Jahren gesagt, dass "Internet für sie Neuland ist"?
    Da hat sich bis heute nicht viel geändert.
    Abermillionen wurden für die "Corona-App" bezahlt und was hat sich bis heute geändert? Wie eine Monztranz wurde die Nutzungszahl von 24 Millionen von Usern, die diese App benutzen sollen, vor sich her getragen und jeden Tag werden wir erneut aufgefordert, die und die App herunter zu laden, dient doch unserer Sicherheit, wird uns eingeredet.
    Ich habe nichts von dem und lebe immernoch.
    Mal abwarten, was mit den "Grünen EU-Impfpass" unserer EU-Versager-Uschi passiert, worauf alle unsere Impf-und Gesundheitsdaten lesbar werden.
    Abgefahren, wieviele sich willfährig dem unterwerfen.

  9. 41.

    Scherz? Nein. Schlecht? Ja.

    Inzwischen ist hier ein weiterer Artikel erschienen: https://www.rbb24.de/wirtschaft/thema/corona/beitraege/2021/03/geschaeft-corona-schnelltests-21dx-medicorum-tam.html

    Und jetzt gerade in der Abendschau. Mal sehen...

  10. 40.

    Haben meinen Test bei 21XD abgesagt. Mir reicht's!

  11. 39.

    @KB: Alle? Da sind mittlerweile 111 gelistet. Das kann doch alles nur ein schlechter Scherz sein.

  12. 38.

    Na dann, "nopos". Klarname, Telefonnummer, Mailadresse, Anschrift, Geburtsdatum. Manche dürften sich darüber freuen.

  13. 37.

    Wo sind denn jetzt gerade die ganzen Fanboys, die sich vor ein paar Tagen so sehr auf die LUCA-App gefreut haben?

    Da diese Datenlücke von erheblicher Bedeutung sein dürfte, bin ich gespannt, welches Bußgeld nach DSGVO fällig wird. Ich hoffe, es wird sich an der höchst möglichen Grenze orientieren, damit endlich mal Schluss ist mit dieser irrsinnigen Datensammelwut unter dem Coronaradar! Und auch diese Firmen (oder heißen die nur noch Startups?) endlich mal Programmierer bezahlen und ein paar BWLer aus Entscheidungspositionen entfernen.

    Beste Grüße

  14. 35.

    Sorry,,warum die Ausweisnummer?
    Als Gast werden derartige Daten nicht abgefragt. Punkt.

  15. 34.

    Mich interessiert, um welche Teststationen es sich handelt. Die Karte vorhin ließ sich nicht zoomen. Und jetzt ist die nicht mehr vorhanden. Habe letzte Woche einen Test gemacht und würde mich gegebenfalls gerne diesbezüglich mit der Teststation in Verbindung setzen. Aber das Thema wird ja bestimmt auch noch in der Abendschau besprochen.

  16. 33.

    Was mir völlig unklar ist - bei den Schulen darf man nicht zoomen/teamen, die Cloud muss total sicher sein - da geht es um die Lösungen einer Gleichung oder um ein Reli-Plakat! Und hier jetzt... na egal... echt...

  17. 32.

    Hat jemand etwas anderes als Desaster erwartet - ? - Sie bekommen das alles so nicht in den Griff...wie lange brauchen alle noch bis es dann ein Interim gibt, an dem seriöse Leute beteiligt werden und die, die tatsächlich mehrheitlich kompetent sind, statt nur sehr vereinzelt irgendwo, wo sie zudem doofes Gemecker und Rufschädigung anhören und kriminellste staatliche Repression gefallen lassen sollen... wie lange bis Sie alle merken, Sie tun sich selbst mit dem "Corona" Wahnsinn keinen Gefallen.

  18. 31.

    Echt jetzt? Der Schutz der eigenen Daten ist nunmal ein Grundfeiler unseres Systems. Und weil es die eigene Daten sind. Und nochmal, warum nennen Sie hier nicht Name + Anschrift. Sie ahnen nicht mal, was manchen mit fremden Daten anstellen können. Bis hin zum Identitätsdiebstahl.

  19. 30.

    Ein (nachweißlich grob fahrlässiger) Verstoß gegen die DSGVO und das BDSG … Wo bleibt die schnelle strafrechtliche Konsequenz für so etwas? … Wo bleibt die Staatsanwaltschaft? … Wo bleibt der Berliner Beauftragte für Datenschutz und Informationsfreiheit (den gibt es) … So etwas ist kein Kavalierdelikt (mehr).

Nächster Artikel