Zehntausende betroffen

Datenschutz-GAU: Corona-Testdaten offen im Netz

Digital
18.03.2021 15:03

Eine Datenschutz-Panne bei einem Wiener Start-up, das als IT-Dienstleister für deutsche und österreichische Corona-Testzentren agiert, hat dafür gesorgt, dass persönliche Daten von 80.000 Getesteten offen im Internet zugänglich waren. Einem deutschen IT-Security-Kollektiv gelang es, durch das bloße Ändern der Test-ID an die Daten Wildfremder zu gelangen. Das sei aber nur in einer kleinen Zahl von Fällen tatsächlich geschehen, relativiert der Dienstleister.

In einem Blogeintrag der IT-Security-Tüftler von zerforschung.org wird die Panne beschrieben: Ein Mitglied der Organisation ließ sich in einem Testzentrum in Berlin auf Corona testen, das die Tests über eine Online-Anmeldeplattform organisierte, mit der man das Wiener Gesundheitsdaten-Start-up Medicus AI beauftragt hatte. Das Testergebnis wurde digital zugestellt, den Datenverkehr sahen sich die IT-Forscher näher an.

Code löste „blankes Entsetzen“ aus
Was man dann entdeckte, löste „blankes Entsetzen“ aus, heißt es in dem Blogeintrag. Eine PDF-Downloadfunktion für das Testergebnis war unzureichend abgesichert. Im Quellcode entdeckte man, dass der PDF-Download mit einer ID des Getesteten verknüpft war und man durch das bloße Ändern dieser ID Zugriff auf das Testergebnis eines Wildfremden bekam - inklusive zahlreicher persönlicher Daten.

Zitat Icon

Wer sich auch nur im Entferntesten mit IT-Sicherheit auseinandersetzt, macht solche Fehler einfach nicht.

Linus Neumann, CCC

Die Security-Forscher schalteten das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ein und zeigten die Schwachstelle dem Chaos Computer Club (CCC). Dort spricht man von einem Anfängerfehler. Linus Neumann vom CCC: „Wer sich auch nur im Entferntesten mit IT-Sicherheit auseinandersetzt, macht solche Fehler einfach nicht.“ In Österreich - hier hat Medicus AI seinen Sitz - wurden die Cyber-Eingreiftruppe CERT.at und die Datenschutz-NGO epicenter.works aktiv.

Noch weitere Schwachstellen entdeckt
Den Experten fielen noch weitere Schwachstellen auf: So sei auch der Zugriff auf das „Beweisfoto“ der einzelnen Tests möglich gewesen. Außerdem konnte mit einem Trick - dem sekundengenauen Einstellen des gewünschten Statistik-Zeitraums auf einem zugehörigen Dashboard - das Testergebnis einzelner Probanden ausgeforscht werden. Die Testdaten würden allesamt über die Server des US-Dienstleisters Cloudflare geschickt, auf den Anmelde-Websites komme zudem Google-Tracking zum Einsatz, ohne dass in der Datenschutzerklärung des Anbieters darauf hingewiesen würde.

Zitat Icon

Diese unverantwortliche Fahrlässigkeit zeigt, wie leichtfertig mit unseren Gesundheitsdaten umgegangen wird.

Thomas Lohninger, epicenter.works

Die Entdecker der Schwachstelle fordern vom Betreiber der IT-Infrastruktur, die neben mehreren deutschen Testzentren auch die FH Kärnten genutzt hat, schnell zu handeln. „Es ist jetzt an den betroffenen Firmen und zuständigen Datenschutzbehörden, diesen Skandal aufzuklären. Diese unverantwortliche Fahrlässigkeit zeigt, wie leichtfertig mit unseren Gesundheitsdaten umgegangen wird. Was ständig auf der Strecke bleibt, ist das Vertrauen der Bevölkerung in die angemessene Bewältigung dieser Krise“, sagt Thomas Lohninger von epicenter.works.

Zitat Icon

Medicus ist für die Hilfe des BSI sehr dankbar, die es ermöglichte, schnell zu reagieren.

Stellungnahme von Medicus AI

Bei Medicus AI relativiert man die Tragweite der Sicherheitslücke. Diese sei vor einer Woche durch ein fehlerhaftes Update entstanden und „ermöglichte theoretisch, dass eingeloggte Nutzer mit IT-Kenntnissen die Befunde anderer Nutzer abrufen konnten.“ Tatsächlich sei es aber nur bei sechs Nutzern zu unberechtigtem Zugriff gekommen. Diese habe man benachrichtigt und den Fehler binnen weniger Stunden nach der Benachrichtigung durch das BSI behoben. „Medicus ist für die Hilfe des BSI sehr dankbar, die es ermöglichte, schnell zu reagieren“, so die Marketing-Chefin des Start-ups zu krone.at.

Loading...
00:00 / 00:00
Abspielen
Schließen
Aufklappen
Loading...
Vorige 10 Sekunden
Zum Vorigen Wechseln
Abspielen
Zum Nächsten Wechseln
Nächste 10 Sekunden
00:00
00:00
1.0x Geschwindigkeit
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.

(Bild: krone.at)
(Bild: krone.at)
Kreuzworträtsel (Bild: krone.at)
(Bild: krone.at)



Kostenlose Spiele
Vorteilswelt