Wer einen Coronatest macht, muss davon ausgehen, dass das Ergebnis aufgrund der geltenden Meldepflicht an das zuständige Gesundheitsamt übermittelt wird. Bei 136.000 Testergebnisse gingen die Daten aber nicht nur an die Behörden, sondern konnten zumindest theoretisch von jedem über das Internet abgerufen werden. Das hat eine Untersuchung des Sicherheitskollektivs Zerforschung und des Chaos Computer Clubs (CCC) ergeben.
Neben dem eigentlichen Testergebnis waren auch weitere persönliche Daten der Testpersonen ohne Zugangsschutz abrufbar. Darunter befanden sich der Name, Wohnort, Geburtsdatum, Staatsbürgerschaft sowie Telefonnummer und E-Mail-Adresse. Zumindest in einigen Fällen war offenbar auch die Ausweis- beziehungsweise Passnummer der Betroffenen in den Daten hinterlegt.
Der Fehler lag bei der Software Safeplay, die von dem Wiener Unternehmen Medicus AI entwickelt wurde. Die Software dient als Komplettlösung für Testzentren und deckt den gesamten Testbetrieb von der Terminvergabe bis zur Erstellung von Testzertifikaten ab. Nach Angaben der Süddeutschen Zeitung wird Safeplay von mehr als 150 Testzentren und mobilen Test-Teams in Deutschland und Österreich eingesetzt.
Nach Angaben des CCC waren über die Sicherheitslücke unter anderem Testergebnisse aus öffentlichen Testzentren in Berlin, München und Kärnten betroffen. Außerdem sollen auch Daten von temporären Teststationen in Schulen, Kitas und Unternehmen betroffen gewesen sein. Zerforschung und der CCC haben ihre Erkenntnisse mit dem dafür zuständigen Bundesamt für Informationssicherheit geteilt. Der Hersteller Medicus AI hat die Sicherheitslücke mittlerweile behoben und erklärt, dass der Fehler bei einem Software-Update im Februar entstanden sei.
Mehr als ein Datenleck: Corona-Testdaten konnten manipuliert werden
Nach Angaben von Zerforschung war es über die Softwarelösung möglich, die eigenen Daten nachträglich zu verändern. Über die dafür bereitgestellte Website konnte zwar der Name nicht verändert werden, über eine direkte Anfrage bei der genutzten Schnittstelle indes schon. Auf die Art konnte für einen neuen Namen und Anschrift ein weiterer Testbefund als PDF abgerufen werden. Getestete hätten also Belege für einen negativen Test für beliebig viele andere Personen erstellen und ausdrucken können.
Außerdem stellt Medicus AI den Nutzern der Software ein Dashboard bereit, über das Statistiken zu den durchgeführten Coronatests abgerufen werden können. Auf dieses Statistikseite konnte man sich nach Angaben von Zerforschung offenbar auch mit den Login-Daten anmelden, die an Testpersonen vergeben werden, obwohl die Website eindeutig für die Betreiber der Testzentren gedacht ist. Über das Dashboard konnten Testzeiträume sekundengenau definiert werden. Wer von einem Testzentrum steht und sich die Uhrzeit des Tests einer anderen Person merkt, hätte theoretisch die Möglichkeit, genau diesen Zeitraum abzufragen und so das Ergebnis zu erfahren.
Über das Dashboard war es offenbar außerdem möglich, Statistiken für einzelne Testzentren abzurufen. Da die Software auch von Firmen eingesetzt wurde, könnte so beispielsweise in Erfahrung gebracht werden, wie viele Mitarbeiterinnen und Mitarbeiter einer Firma positiv getestet wurden.
CCC spricht von Fahrlässigkeit des Software-Herstellers
„Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“, sagt CCC-Sprecher Linus Neumann. „Wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als Nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt“, so Neumann in Anspielung auf die Vergabe des Auftrags zur Schaffung eines digitalen Impfnachweises an ein IBM-geführtes Konsortium.
Ebenfalls interessant: Corona-Selbsttests bei Aldi: Nutzlose Zertifikate und Datenleck
Name, Adresse, Geburtsdatum…reicht völlig aus um mit beliebten Zahlungsdienstleistern auf Rechnung Waren zu bestellen…kein Wunder dass Idenditätsdiebstahl so einfach geworden ist…na Klar…