Zehntausende betroffen

Datenschutz-GAU: Corona-Testdaten offen im Netz

18.03.2021 15:03

Eine Datenschutz-Panne bei einem Wiener Start-up, das als IT-Dienstleister für deutsche und österreichische Corona-Testzentren agiert, hat dafür gesorgt, dass persönliche Daten von 80.000 Getesteten offen im Internet zugänglich waren. Einem deutschen IT-Security-Kollektiv gelang es, durch das bloße Ändern der Test-ID an die Daten Wildfremder zu gelangen. Das sei aber nur in einer kleinen Zahl von Fällen tatsächlich geschehen, relativiert der Dienstleister.

In einem Blogeintrag der IT-Security-Tüftler von zerforschung.org wird die Panne beschrieben: Ein Mitglied der Organisation ließ sich in einem Testzentrum in Berlin auf Corona testen, das die Tests über eine Online-Anmeldeplattform organisierte, mit der man das Wiener Gesundheitsdaten-Start-up Medicus AI beauftragt hatte. Das Testergebnis wurde digital zugestellt, den Datenverkehr sahen sich die IT-Forscher näher an.

Code löste „blankes Entsetzen“ aus
Was man dann entdeckte, löste „blankes Entsetzen“ aus, heißt es in dem Blogeintrag. Eine PDF-Downloadfunktion für das Testergebnis war unzureichend abgesichert. Im Quellcode entdeckte man, dass der PDF-Download mit einer ID des Getesteten verknüpft war und man durch das bloße Ändern dieser ID Zugriff auf das Testergebnis eines Wildfremden bekam - inklusive zahlreicher persönlicher Daten.

Wer sich auch nur im Entferntesten mit IT-Sicherheit auseinandersetzt, macht solche Fehler einfach nicht.

Linus Neumann, CCC

Die Security-Forscher schalteten das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ein und zeigten die Schwachstelle dem Chaos Computer Club (CCC). Dort spricht man von einem Anfängerfehler. Linus Neumann vom CCC: „Wer sich auch nur im Entferntesten mit IT-Sicherheit auseinandersetzt, macht solche Fehler einfach nicht.“ In Österreich - hier hat Medicus AI seinen Sitz - wurden die Cyber-Eingreiftruppe CERT.at und die Datenschutz-NGO epicenter.works aktiv.

Noch weitere Schwachstellen entdeckt
Den Experten fielen noch weitere Schwachstellen auf: So sei auch der Zugriff auf das „Beweisfoto“ der einzelnen Tests möglich gewesen. Außerdem konnte mit einem Trick - dem sekundengenauen Einstellen des gewünschten Statistik-Zeitraums auf einem zugehörigen Dashboard - das Testergebnis einzelner Probanden ausgeforscht werden. Die Testdaten würden allesamt über die Server des US-Dienstleisters Cloudflare geschickt, auf den Anmelde-Websites komme zudem Google-Tracking zum Einsatz, ohne dass in der Datenschutzerklärung des Anbieters darauf hingewiesen würde.

Diese unverantwortliche Fahrlässigkeit zeigt, wie leichtfertig mit unseren Gesundheitsdaten umgegangen wird.

Thomas Lohninger, epicenter.works

Die Entdecker der Schwachstelle fordern vom Betreiber der IT-Infrastruktur, die neben mehreren deutschen Testzentren auch die FH Kärnten genutzt hat, schnell zu handeln. „Es ist jetzt an den betroffenen Firmen und zuständigen Datenschutzbehörden, diesen Skandal aufzuklären. Diese unverantwortliche Fahrlässigkeit zeigt, wie leichtfertig mit unseren Gesundheitsdaten umgegangen wird. Was ständig auf der Strecke bleibt, ist das Vertrauen der Bevölkerung in die angemessene Bewältigung dieser Krise“, sagt Thomas Lohninger von epicenter.works.

Medicus ist für die Hilfe des BSI sehr dankbar, die es ermöglichte, schnell zu reagieren.

Stellungnahme von Medicus AI

Bei Medicus AI relativiert man die Tragweite der Sicherheitslücke. Diese sei vor einer Woche durch ein fehlerhaftes Update entstanden und „ermöglichte theoretisch, dass eingeloggte Nutzer mit IT-Kenntnissen die Befunde anderer Nutzer abrufen konnten.“ Tatsächlich sei es aber nur bei sechs Nutzern zu unberechtigtem Zugriff gekommen. Diese habe man benachrichtigt und den Fehler binnen weniger Stunden nach der Benachrichtigung durch das BSI behoben. „Medicus ist für die Hilfe des BSI sehr dankbar, die es ermöglichte, schnell zu reagieren“, so die Marketing-Chefin des Start-ups zu krone.at.