Anzeige
Anzeige
News
Artikel merken

Corona: 136.000 Testergebnisse waren ungeschützt im Netz abrufbar

Corona-Testergebnisse von mehr als 80.000 Menschen standen wochenlang ungeschützt im Netz. Grund war eine massive Sicherheitslücke in einer IT-Lösung, die von mehr als 150 Testzentren in Deutschland und Österreich eingesetzt wird.

2 Min. Lesezeit
Anzeige
Anzeige
Daten von getesteten Personen standen ungeschützt im Netz. (Foto: FooTToo / Shutterstock.com)

Wer einen Coronatest macht, muss davon ausgehen, dass das Ergebnis aufgrund der geltenden Meldepflicht an das zuständige Gesundheitsamt übermittelt wird. Bei 136.000 Testergebnisse gingen die Daten aber nicht nur an die Behörden, sondern konnten zumindest theoretisch von jedem über das Internet abgerufen werden. Das hat eine Untersuchung des Sicherheitskollektivs Zerforschung und des Chaos Computer Clubs (CCC) ergeben.

Anzeige
Anzeige

Neben dem eigentlichen Testergebnis waren auch weitere persönliche Daten der Testpersonen ohne Zugangsschutz abrufbar. Darunter befanden sich der Name, Wohnort, Geburtsdatum, Staatsbürgerschaft sowie Telefonnummer und E-Mail-Adresse. Zumindest in einigen Fällen war offenbar auch die Ausweis- beziehungsweise Passnummer der Betroffenen in den Daten hinterlegt.

Der Fehler lag bei der Software Safeplay, die von dem Wiener Unternehmen Medicus AI entwickelt wurde. Die Software dient als Komplettlösung für Testzentren und deckt den gesamten Testbetrieb von der Terminvergabe bis zur Erstellung von Testzertifikaten ab. Nach Angaben der Süddeutschen Zeitung wird Safeplay von mehr als 150 Testzentren und mobilen Test-Teams in Deutschland und Österreich eingesetzt.

Anzeige
Anzeige

Nach Angaben des CCC waren über die Sicherheitslücke unter anderem Testergebnisse aus öffentlichen Testzentren in Berlin, München und Kärnten betroffen. Außerdem sollen auch Daten von temporären Teststationen in Schulen, Kitas und Unternehmen betroffen gewesen sein. Zerforschung und der CCC haben ihre Erkenntnisse mit dem dafür zuständigen Bundesamt für Informationssicherheit geteilt. Der Hersteller Medicus AI hat die Sicherheitslücke mittlerweile behoben und erklärt, dass der Fehler bei einem Software-Update im Februar entstanden sei.

Anzeige
Anzeige

Mehr als ein Datenleck: Corona-Testdaten konnten manipuliert werden

Nach Angaben von Zerforschung war es über die Softwarelösung möglich, die eigenen Daten nachträglich zu verändern. Über die dafür bereitgestellte Website konnte zwar der Name nicht verändert werden, über eine direkte Anfrage bei der genutzten Schnittstelle indes schon. Auf die Art konnte für einen neuen Namen und Anschrift ein weiterer Testbefund als PDF abgerufen werden. Getestete hätten also Belege für einen negativen Test für beliebig viele andere Personen erstellen und ausdrucken können.

Außerdem stellt Medicus AI den Nutzern der Software ein Dashboard bereit, über das Statistiken zu den durchgeführten Coronatests abgerufen werden können. Auf dieses Statistikseite konnte man sich nach Angaben von Zerforschung offenbar auch mit den Login-Daten anmelden, die an Testpersonen vergeben werden, obwohl die Website eindeutig für die Betreiber der Testzentren gedacht ist. Über das Dashboard konnten Testzeiträume sekundengenau definiert werden. Wer von einem Testzentrum steht und sich die Uhrzeit des Tests einer anderen Person merkt, hätte theoretisch die Möglichkeit, genau diesen Zeitraum abzufragen und so das Ergebnis zu erfahren.

Anzeige
Anzeige

Über das Dashboard war es offenbar außerdem möglich, Statistiken für einzelne Testzentren abzurufen. Da die Software auch von Firmen eingesetzt wurde, könnte so beispielsweise in Erfahrung gebracht werden, wie viele Mitarbeiterinnen und Mitarbeiter einer Firma positiv getestet wurden.

CCC spricht von Fahrlässigkeit des Software-Herstellers

„Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“, sagt CCC-Sprecher Linus Neumann. „Wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als Nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt“, so Neumann in Anspielung auf die Vergabe des Auftrags zur Schaffung eines digitalen Impfnachweises an ein IBM-geführtes Konsortium.

Ebenfalls interessant: Corona-Selbsttests bei Aldi: Nutzlose Zertifikate und Datenleck

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Amazonkunde

Name, Adresse, Geburtsdatum…reicht völlig aus um mit beliebten Zahlungsdienstleistern auf Rechnung Waren zu bestellen…kein Wunder dass Idenditätsdiebstahl so einfach geworden ist…na Klar…

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige