Die Betreiber von Corona-Testzentren arbeiten offenbar mit Software, die mit der heißen Nadel gestrickt ist. Schon zum fünften Mal konnte das Hacker-Kollektiv „Zerforschung“ auf Daten zugreifen, indem sie konzeptionelle Schwächen des jeweiligen Software-Konzepts ausnutzten. Ein echtes „Hacken“ war dazu gar nicht erforderlich. Coronapoint gab die Daten allzu leicht her.

34 Testzentren in vier Bundesländern betreibt die Kölner Firma PAS Solutions unter dem Namen Coronapoint. Entsprechend viel Durchsatz entsteht und entsprechend viele Daten werden gespeichert. Davon konnte sich das Team von Zerforschung unkompliziert selbst überzeugen.

In einem ausführlichen Blogbeitrag schildern die Sicherheitsexpertinnen und -experten ihre Vorgehensweisen und die vielfachen Reaktionen des Betreibers, der – wie sich herausstellte – die gemeldeten Probleme nur zögerlich und wiederum mit der heißen Nadel behoben hatte.

Auf insgesamt rund 174.000 unzureichend gesicherte Buchungsbestätigungen und Testergebnisse konnte das Zerforschung-Team zugreifen. Die Dokumente enthielten Namen, Adressen, Geburtsdaten, Telefonnummern und E-Mail-Adressen. Hatten Nutzende das Feld ausgefüllt, was wohl bei vielen der Fall war, fanden sich sogar die Ausweisnummern und letztlich die Testergebnisse selbst. Böswillige Angreifer hätten damit einen stattlichen Datenbestand, anhand dessen sie Identitätsdiebstahl und andere Betrugsdelikte hätten begehen können.

Coronapoint hat inzwischen bestätigt, dass die Sicherheitslücke für zehn Tage bestanden habe. Wer allerdings den Bericht von Zerforschung liest, kommt nicht umhin, hier strukturelle Mängel in der Konzeptionierung der Software zu erkennen. Daher scheint kaum glaubhaft, dass die Lücken nur über zehn Tage bestanden haben sollen.

Denn tatsächlich hatte Coronapoint mehrere Probleme. Zuerst hatten die Zerforscher aufgedeckt, dass die verwendeten Passwörter für den Zugriff auf den Nutzer-Account rein vierstellig und rein alphanumerisch waren. Die wären somit einfach zu knacken gewesen. Das aber musste nicht einmal geschehen. Es reichte schon, eine korrekte E-Mail-Adresse einzugeben, auf „Passwort vergessen“ zu klicken und den dann entstehenden Datenverkehr mitzulesen. Coronapoint verschickte die Passwörter unmittelbar im Klartext.

Zudem vergab die Software einfache, aufsteigend gezählte, also leicht zu erratende Buchungsnummern. Damit gelang es den Zerforschern, massenhaft Kundendaten abzufragen. Das funktionierte sowohl für den Bereich der Testergebnisse wie auch für den Bereich der Buchungsbestätigungen und das sogar noch, nachdem die Schwachstellen über das BSI (Bundesamt für Sicherheit in der Informationstechnik) an den Betreiber gemeldet worden waren und dieser bestätigt hatte, alle Probleme beseitigt zu haben.

Vor allem in Anbetracht des laxen Umgangs des Betreibers mit den gemeldeten Problemen, fordert das Zerforschung-Team die Politik auf, für mehr Personal bei den Datenschutzbehörden zu sorgen. So sei etwa in Berlin für über 1.300 Testzentren eine einzelne Person zuständig. Das könne schlicht nicht funktionieren.

Sie beklagen sich: „Aus unserer Sicht darf das nicht sein, dass sich die Mehrheit der Testzentren nicht an Gesetze halten – und dass das von Ehrenamtlichen aufgedeckt werden muss, weil in den zuständigen öffentlichen Stellen die Ressourcen fehlen, um dies zu kontrollieren. Denn wo Kontrollen fehlen, gib es auch keine Konsequenzen, und so scheint der Datenschutz auch die Betreiber der Testzentren nicht zu interessieren.“