136.000 Corona-Testergebnisse samt persönlicher Daten frei einsehbar
Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis: Aufgrund einer Sicherheitslücke waren sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt über das Internet abrufbar. Betroffen sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen. Wir haben die Schwachstelle den zuständigen Behörden gemeldet.
Die Herausforderungen der COVID19-Pandemie offenbaren vielerorts Digitalisierungsmängel. Der akute Bedarf an digitalen Lösungen motiviert viele Unternehmen zu digitalen Schnellschüssen. Während am Horizont schon fragwürdige Konzepte für digitale Impfnachweise lauern, mussten chaotische Sicherheitsforscherinnen erst einmal zehntausende Testergebnisse samt persönlicher Daten in Sicherheit bringen.
136.000 Testergebnisse von mehr als 80.000 Betroffenen
Das Wiener Unternehmen medicus.ai stellt unter dem Namen safeplay eine "Rundum-Sorglos-Website" für Testzentren zur Verfügung: Von der Terminbuchung bis zum Online-Testzertifikat ist an alles gedacht -- außer an angemessene IT-Sicherheit: Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogenen Daten anderer Nutzerinnen einsehen.
Sicherheitsforscherinnen der Chaosgruppe Zerforschung haben die Schwachstelle nach einem Besuch im einem Berliner Testzentrum der Betreiberin 21dx entdeckt. Das Unternehmen bezeichnet sich als "größter Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobiler Impfteams im Kampf gegen die Pandemie."
Die Software safeplay von medicus.ai kommt aber nicht nur in Berlin zum Einsatz. Betroffen sind über 136.000 Testergebnisse von mehr als 80.000 Kundinnen bei über 100 Testzentren und mobilen Test-Teams. Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas.
Wer zählen kann, konnte die Ergebnisse abrufen
Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die "Testzertifikate" anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen.
Auch Statistiken der Testzentren sekundengenau einsehbar
Doch damit nicht genug: Über ein ebenfalls mit jedem Account ungehindert zugängliches Dashboard konnte auch sekundengenau für jedes Testzentrum eingesehen werden, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Photos waren auch wiederum die Namen der Patientinnen vermerkt.
Zugriff blieb unbemerkt
Laut eigener Aussage hat das verantwortliche Unternehmen medicus.ai die Schwachstellen als Reaktion auf unsere Meldung inzwischen behoben. Zum jetzigen Zeitpunkt ist unklar, ob die Schwachstellen ggf. von anderen früher entdeckt wurden und wie viele Daten auf diese Weise in fremde Hände gelangt sind. Die Zusicherungen des betroffenen Unternehmens medicus.ai, es habe kein unberechtigter Zugriff stattgefunden, lassen sich nicht unabhängig prüfen. Weiterhin behauptet medicus.ai, betroffene Nutzerinnen informiert zu haben. Für Testergebnisse von Freundinnen, auf die wir mit deren Erlaubnis unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten.
Meldung an zuständige Behörden
Zerforschung und Chaos Computer Club haben das Bundesamt für Sicherheit in der Informationstechnik, den Bundesdatenschutzbeauftragten und die zuständigen Landesdatenschutzbeauftragten in Deutschland über die Schwachstellen bei medicus.ai informiert. Die österreichische NGO epicenter.works übernahm die Kommunikation mit dem für das Wiener Unternehmen zuständigen CERT.at. Ziel war die schnelle Behebung, um die Daten der Kundinnen nicht weiter in Gefahr zu bringen.
Unverantwortliche Fahrlässigkeit
"Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden", sagte Karl aus dem Team Zerforschung.
"Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT", sagte Linus Neumann vom Chaos Computer Club. Schon im vergangenen Jahr haben Mitglieder des CCC immer wieder eklatante Schwachstellen in Corona-Systemen gemeldet. "Wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt.", so Neumann weiter.
"Es ist jetzt an den betroffenen Firmen und zuständigen Datenschutzbehörden, diesen Skandal aufzuklären. Diese unverantwortliche Fahrlässigkeit zeigt wie leichtfertig mit unseren Gesundheitsdaten umgegangen wird. Was ständig auf der Strecke bleibt, ist das Vertrauen der Bevölkerung in die angemessene Bewältigung dieser Krise.", sagte Thomas Lohninger von der Datenschutz-NGO epicenter.works in Wien.