Wegen einer Sicherheitslücke waren die persönlichen Daten tausender Besucher von neun Corona-Teststationen für mehrere Stunden von jedem einsehbar.
München - Sicherheitsexperten des IT-Kollektivs „Zerforschung“ sind auf ein riesiges Datenleck gestoßen. Wie Reporter des RBB, NDR und MDR bekannt gaben, waren die persönlichen Daten mehrerer tausend auf das Coronavirus Getesteter für mehrere Stunden öffentlich einsehbar. Name, Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse, sogar an welchem Tag und mit welchem Ergebnis getestet wurde, waren für jeden frei zugänglich.
Die Firma Eventus Media International betreibt in Deutschland für neun Testzentren in Hamburg, Berlin, Dortmund, Leipzig und Schwerte die Anmeldungs-Website. Dort kann sich jeder unter testcenter-corona.de für Tests auf Covid-19 anmelden und die Ergebnisse des Tests abfragen. Alle Bürger, die sich mithilfe dieser Seite zwischen Ende März und Anfang April für eine Untersuchung angemeldet haben, können von dem Daten-Leak betroffen sein. Der Schwerpunkt liegt bei zwei Zentren in Leipzig.
Corona-Sicherheitslücke: Daten von über 17.000 Getesteten für jedermann einsehbar
Bei der Anmeldung für eine Testung auf das Coronavirus erhielt jeder Besucher einen Code, um später sein Ergebnis einsehen zu können. Die Sicherheitsexperten stellten bei der Website jedoch fest, dass über 17.000 dieser Codes problemlos für jedermann zugänglich waren. Und damit auch die Daten der Angemeldeten sowie über 7000 Testergebnisse. Noch ist nicht auszuschließen, dass nicht noch mehr davon betroffen waren.
Für das Einsehen der Daten seien laut eines der „Zerforschung“-Experten lediglich Grundkenntnisse im IT-Bereich erforderlich. Ein gefundenes Fressen also für Kriminelle, die Identitätsdiebstahl betreiben. Die Experten meldeten das Problem dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Mitarbeitern von NDR, RBB und MDR .
Corona-Testergebnisse und sogar Anmeldungsdaten geleakt
Bei einer Stichprobe bestätigten die Reporter die Sicherheitslücke und gaben an, dass sie problemlos an die persönlichen Daten mehrerer Personen kamen. Inklusive, soweit vorhanden, der Testergebnisse. Manche der Anmeldungen seien weniger als eine Stunde alt, manche bereits mehrere Wochen. Nachdem die Reporter bei dem Unternehmen diesbezüglich angefragt hatten, schloss Eventus Media International die Sicherheitslücke vergangenen Dienstag.
Ein Unternehmenssprecher entschuldigte sich bei den Betroffenen. Die Testzentren seien „mit großer Eile hochgezogen“ worden und es sei dabei „mit versierten IT-Spezialisten zusammengearbeitet“ worden. Der Website-Betreiber teilte außerdem mit: „Wir werden es aber nicht dabei belassen, sondern unsere Systeme gemeinsam mit einer darauf spezialisierten Firma einem umfassenden Sicherheitscheck unterziehen, damit so etwas nicht noch einmal vorkommt.“
Website-Betreiber hat Sicherheitslücke mittlerweile behoben
Das Unternehmen sei noch dabei, sich einen Überblick über die genauen Mengen an geleakten Daten zu verschaffen. So sagte der Unternehmenssprecher: „In Folge dieses Angriffs könnten nach unserem aktuellen Kenntnisstand zwischen 6000 und 7000 Datensätze kompromittiert worden sein, die unberechtigt abgerufen bzw. heruntergeladen wurden.“ Eventus Media International arbeite daran, die Zahlen weiter einzugrenzen und möglichen Datenmissbrauch aufzudecken. Das Unternehmen möchte außerdem alle Betroffenen informieren.
Arne Schönbohm, Präsident des BSI, bezeichnete die Sicherheitslücke als „gravierend“. Laut ihm sei bisher das Niveau der Sicherheitsvorkehrungen bei den Testzentren auf Sars-CoV-2 nicht einheitlich vorgeschrieben. Anders als bei der digitalen Infrastruktur des Gesundheitssystems, das sehr hohen Sicherheitsgraden genüge. Das BSI gründete eine Sonderabteilung für alle das Coronavirus betreffenden Sicherheitsthemen.
Nicht der erste Datenleak bei privaten Coronavirus-Testanbietern.
Das Gesundheitsamt von Leipzig hatte Eventus Media International für die Coronavirus Testungen beauftragt. Dieser Daten-Leak ist jedoch kein Einzelfall. Bereits im März hatte „Zerforschung“ in Berlin bei einem anderen privaten Anbieter für Tests auf das Coronavirus Sicherheitslücken gefunden. Dort konnten die Daten von über 100.000 Kunden online abgerufen werden.