Nachdem schon im März eklatante Sicherheitsmängel bei der IT von Corona-Testzentren bekannt wurden, waren nun erneut tausende Testergebnisse mitsamt personenbezogener Daten online auffindbar. Sicherheitsexpert:innen der Gruppe „Zerforschung“ ist es gelungen, Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mailadressen und Testergebnisse von über 14.000 Getesteten aus Zentren in Hamburg, Berlin, Leipzig und Schwerte einzusehen. Betroffen sind die Testzentren der Firma Eventus Media International (EMI).
Die Sicherheitslücke findet sich in einer Schnittstelle der Webseite, über die Kund:innen sich für einen Test anmelden und ihr Ergebnis abfragen können. Die Seite ist mit dem Blog-System WordPress erstellt. Um die Inhalte der Seite beispielsweise in der WordPress-App oder anderen Anwendungen nutzen zu können, gibt es Schnittstellen, über die alle Daten abgerufen werden können. Hierfür sind die Daten in verschiedene Kategorien unterteilt, bei einem Blog also beispielsweise Beiträge oder Kommentare, damit sie in der anderen Anwendung auch an der richtige Stelle auftauchen, ein Kommentar also auch in der App in der Kommentarspalte landet.
Eine dieser Kategorien hieß bei der Firma EMI „registration“. In dieser Kategorie landeten alle Daten, die bei der Registrierung anfielen, also die persönlichen Daten der Getesteten und nach dem Test auch die Ergebnisse. Wer sich registrierte, bekam einen zehnstelligen Code aus Buchstaben und Zahlen zugewiesen, mit dem man auf der Webseite sein Testergebnis abrufen kann.
Schnittstelle stand ungeschützt allen zur Verfügung
Normalerweise sind solche Schnittstellen geschützt, sodass nicht jeder die Daten absaugen kann. EMI versäumte es aber, für diesen Schutz zu sorgen. So konnten sich die Forscher:innen von Zerforschung eine Liste mit allen Registrierungscodes ausgeben lassen. Diese Codes konnten sie dann auf der Webseite der Betreiberfirma eingeben und so alle persönlichen Daten inklusive Testergebnis einsehen.
Die Expert:innen kritisieren außerdem, dass es keine Begrenzung zu geben schien, wie viele Ergebnisse sie pro Tag oder pro Stunde abrufen konnten. So hätte man massenhafte Abfragen zumindest verlangsamen können.
Um den Schutz dieser sensiblen, personenbezogenen Gesundheitsdaten möglichst schnell zu gewährleisten, informierten die Forscher:innen vor der Veröffentlichung das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Betreiberfirma EMI. Die Sicherheitslücke ist seit Dienstag geschlossen.
Hinweise auf Datenpannen in weiteren Testzentren
Gegenüber Journalist:innen von NDR, RBB und MDR bedauert ein Sprecher von EMI das Datenleck. Man habe „Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können.“ Wie vermeintlich „versierten“ Spezialist:innen derartig simple Sicherheitslücken entgehen konnten, bleibt offen.
Die Journalist:innen erfuhren von der nordrhein-westfälischen Datenschutzbehörde, dass es noch mindestens drei weitere Testzentren gäbe, bei denen es Hinweise auf ähnliche Datenpannen gebe. Diese Fälle seien besonders gravierend, weil es sich um Gesundheitsdaten handele, die besonderen Schutz benötigten. Die Behörden können bei Datenschutzverstößen Bußgelder verhängen, die allerdings „verhältnismäßig“ ausfallen müssen.
Das Team von Zerforschung kritisiert fehlende Härte der Behörden im Umgang mit solchen Sicherheitslücken: „Unternehmen scheinen bei solchen Problemen keine Konsequenzen zu fürchten. […] Der Schutz von Gesundheitsdaten darf nicht auf die leichte Schulter genommen werden. Dabei darf die besondere Pandemielage und schnelle Handlungsfähigkeit keine Ausrede sein.“
Tests mittlerweile Bedingung für Teilnahme am öffentlichen Leben
Schon Anfang März deckten die Sicherheitsexpert:innen auf, dass in Testzentren der Firma 21dx Ergebnisse online massenhaft abrufbar waren. Die Getesteten bekamen damals eine sechsstellige Zahl zugeteilt, mit der die Testergebnisse im PDF-Format wieder der richtigen Person zugeordnet werden sollten. Diese Zahl konnten Nutzer:innen aber bei der Abfrage der Ergebnisse beliebig nach oben oder unten verändern und so an die Ergebnisse anderer Personen gelangen und deren Daten einsehen.
Im Vergleich zu den Enthüllungen Anfang März sind die neuen Sicherheitslücken insofern bedenklicher, als dass das Testen immer flächendeckender stattfindet und in vielen Fällen eine Bedingung für die Teilnahme am öffentlichen Leben sein soll, zum Beispiel in Schulen, im Arbeitsleben oder für den Besuch von Restaurants oder Museen. Wer dabei nicht benachteiligt werden möchte, dem bleibt in vielen Fällen nichts anderes übrig als sich testen zu lassen. Das ist aus Sicht der Pandemiebekämpfung auch sinnvoll. Umso entscheidender ist es, dass die Menschen sich darauf verlassen können, dass ihre Daten beim Corona-Test angemessen geschützt sind.
Schuld hat nachher sowieso niemand, der Dienstleister hat nur das gemacht, was gefordert wurde und der Auftraggeber hat sich auf den Dienstleister verlassen.
Dreist wenn sich dann doch irgendwer dingfest machen sollte, bei den Bußgeldern wird es dann die Portokasse machen.
Viel wichtiger wäre die Betroffenen, unzwar ALLE, zu informieren, das ihre Daten abgegriffen wurden und aus welchem Grund.
Vielleicht ist der Eine oder Andere aus der Riege „Ich habe nichts zu verbergen“ dabei und wacht auf.
Ich weiss, mein Wunschdenken. Aber es ist Freitag. Man darf doch mal….
Das sind die berühmten Nischen, die der kleine Entwickler besetzen soll :).
Ansonsten kann man demnächst noch Facebook bauen, „Menschen verbinden“, aber das gibt es ja schon….
Gibt es auch bekannte Sicherheitslücken bei schnelltest.io von ticket.io? Das wird zum Beispiel in Hannover vom CovidZentrum genutzt.
Das Bundesamt für Sicherheit in der Informationstechnik ist ein Bundesamt für Utopien, denn „Sicherheit in der Informationstechnik“ kann und wird es nie geben, weil es stets ein Restrisiko gibt.
Man hat stets versucht, den Menschen einzureden, Atomkraft sei sicher. Auch aus diesem Bereich kennt man so ein „Bundesamt“.
In diesen Tagen hat der Begriff „Erwartungsmanagement“ Konjunktur. Erwartungen, es gäbe so etwas wie „Sicherheit in der Informationstechnik“ ziehen früher oder später herbe Enttäuschungen nach sich.