Corona-Testzentren: 136.000 Schnelltest-Ergebnisse standen ungeschützt im Internet

Die Corona-Testergebnisse und personenbezogenen Daten von 80.000 Menschen waren frei im Netz einsehbar. Nötig war dafür nur eine Onlineanmeldung. Die Verantwortlichen sprechen von einem »unglücklichen Softwarefehler«.

21dx-Testzentrum in Berlin

Foto: Jörg Carstensen / dpa

Die Testergebnisse und personenbezogenen Daten von rund 80.000 Menschen, die sich in einem von mehr als 100 Testzentren oder von mobilen Teams auf eine Coronavirus-Infektion haben testen lassen, standen praktisch ungeschützt im Internet. Das haben die Sicherheitsforscherinnen und -forscher der Gruppe »Zerforschung« herausgefunden  und zusammen mit dem Chaos Computer Club (CCC)  öffentlich gemacht.

Mehr als 136.000 Testergebnisse waren demnach frei abrufbar, unter einer Voraussetzung: Für den Zugriff war ein Onlinekonto beim Wiener Unternehmen medicus.ai nötig, das Testzentren eine Software zur Terminbuchung und zum Ausstellen eines Online-Testzertifikat zur Verfügung stellt. Dieses Konto ist zur Vorabregistrierung für einen Test oftmals notwendig. Sprich: Mindestens alle Kundinnen und Kunden der betroffenen Testzentren hätten die Ergebnisse aller anderen einsehen können.

Denn das Testergebnis wurde über die Website des jeweiligen Testzentrums angezeigt und auch als PDF zum Download angeboten. Die Mitglieder von »Zerforschung« entdeckten dabei, dass die Anfrage zum Herunterladen der PDF-Datei an die Adresse /api/web/v1/results/export-patient-specific-result-file?report_id=12345 gesendet wurde. Sie stellten fest, dass sie nur die letzte Zahl ändern mussten, um die Ergebnisse und Daten anderer Personen einsehen zu können. Medicus.ai hatte offensichtlich fortlaufende Nummern statt schwer zu erratender Zufallszahlen verwendet.

Testnachweise für beliebige Namen ausstellbar

Zugänglich waren dadurch Datum und Uhrzeit der Probenahme, Testbefunde, aber auch die Namen, Anschriften, Geburtsdaten, Mobilfunknummern und E-Mail-Adressen der Betroffenen. In freiwillig auszufüllenden Feldern konnten sich zudem Reisepass- beziehungsweise Ausweisnummern finden lassen, ebenso Angaben zu einem abweichenden Aufenthaltsort in den nächsten zwei Wochen.

Linus Neumann, einer der CCC-Sprecher, sagte dem SPIEGEL: »Durch die Ausweisnummer liegen wirklich alle Daten für einen schönen Identitätsdiebstahl zusammen.«

Betroffen sind Kundinnen und Kunden von 21dx, das sich selbst als »größter Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobiler Impfteams im Kampf gegen die Pandemie« bezeichnet und unter anderem in Berlin tätig ist. Nach Angaben des CCC waren auch Testzentren in öffentlichen Einrichtungen in Berlin, München und Kärnten sowie feste und temporäre Teststationen in Unternehmen, Schulen und Kitas betroffen.

Zudem fanden die Expertinnen und Experten von »Zerforschung« heraus, dass sie selbst die Namen und Adressen auf den Befunden verändern und so negative Testnachweise für beliebige Personen hätten ausstellen können.

Empfohlener externer Inhalt

An dieser Stelle finden Sie einen externen Inhalt, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.

Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Externer Inhalt

Zur Datenschutzerklärung

»Diese Art von Schwachstellen sind ein Klassiker«

»Zerforschung« und der CCC haben das Bundesamt für Sicherheit in der Informationstechnik (BSI), den Bundesdatenschutzbeauftragten sowie die zuständigen Landesdatenschutzbeauftragten über die Schwachstellen informiert. »Diese Art von Schwachstellen sind ein Klassiker, vor dem immer wieder gewarnt wird«, sagt Linus Neumann: »Wer sich auch nur im Entferntesten mit IT-Sicherheit auseinandersetzt, macht solche Fehler einfach nicht.«

Medicus.ai hat die Schwachstellen nach eigenen Angaben »innerhalb weniger Stunden« behoben, nachdem die Firma vom BSI kontaktiert worden war. Dem RBB zufolge hatte sie zunächst nur von sechs Personen gesprochen, »die von dieser Lücke betroffen waren«. Später habe sie die Zahl auf theoretisch 5774 Testergebnisse erhöht, »weil es genau so viele Anfragen auf das System in dem Zeitraum gab, in dem die Lücke bestand«. Weil man Maßnahmen getroffen habe, um massenhafte Abfragen zu verhindern, hätte niemand alle 136.000 Ergebnisse auf einmal abrufen können.

In einem am Donnerstag veröffentlichten Statement  gab medicus.ai an, man könne bestätigen, dass »ausschließlich die Datensätze von sechs Nutzern betroffen« waren. Am 11. März sei die Firma vom BSI informiert worden. »Der ursächliche Fehler« sei »durch ein Update in die Software gelangt«.

In einer E-Mail an den SPIEGEL schreibt medicus.ai, der Fehler sei am 14. Februar durch einen »unglücklichen Software-Fehler« (Original: »unfortunate bug«) eingeführt worden.

Die Firma behauptet zudem, betroffene Kunden (Testzentren) sofort und nach der Beendigung der Untersuchungen noch einmal informiert zu haben. Die wiederum hätten bestätigt, alle betroffenen Nutzerinnen und Nutzer auf den Vorfall aufmerksam gemacht zu haben. Der CCC kann das nicht bestätigen: »Für Testergebnisse von Freundinnen, auf die wir mit deren Erlaubnis unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten.«

Hinweis: Der Artikel wurde um das Statement von medicus.ai ergänzt.