Tausende Menschen betroffen Datenleck bei Corona-Tests
Wegen einer Sicherheitslücke sind Corona-Testergebnisse und persönliche Daten ungeschützt ins Netz gelangt. Nach Recherchen von NDR, RBB und MDR sind Tausende Kunden in Hamburg, Berlin, Leipzig und Schwerte betroffen.
Wohn- und Mailadressen, Telefonnummern, Geburtsdatum, Testdatum und -ergebnis - alle diese Daten von Tausenden Menschen ließen sich problemlos im Netz abrufen. Die Betroffenen hatten sich Ende März und Anfang April in Testzentren der Firma Eventus Media International auf das Coronavirus untersuchen lassen. Das Unternehmen betreibt in Deutschland insgesamt neun Einrichtungen in den Städten Berlin, Hamburg, Leipzig, Dortmund und Schwerte. Die Anmeldung für die Tests ist über die Webseite testcenter-corona.de möglich.
Die Webseite des Testzentrums, so haben die Mitglieder von "Zerforschung" es identifiziert, ermöglicht Datenaustausch mit anderen Systemen über eine Softwareschnittstelle, in der IT heißt eine solche Schnittstelle "API". Normalerweise sind solche Schnittstellen nur im Hintergrund für die Betreiber von Webseiten aufrufbar und müssen vor Fremden geschützt sein, z. B. mit einem Passwort. Im Fall der Testzentren war der Zugang für jeden möglich.
Grund für die Datenpanne war eine Sicherheitslücke auf dieser Website. Sicherheitsexperten des IT-Kollektivs "Zerforschung" hatten die Schwachstelle entdeckt und anschließend das Bundesamt für Sicherheit in der Informationstechnik (BSI) und auch Reporterinnen und Reporter von NDR, RBB und MDR informiert. Auf der Website wird bei jeder Registrierung ein Code generiert, mit dem Getestete ihr Ergebnis online abrufen können. Offenbar waren diese Codes für mindestens 17.000 Testtermin-Registrierungen im Netz ohne Zugangsbeschränkung aufrufbar und mit ihnen die bereits vorhandenen Ergebnisse von mindestens 7000 Tests.
In einer Stichprobe konnten die Reporterinnen und Reporter von NDR, RBB und MDR Dutzende Test-Zertifikate herunterladen - inklusive Testergebnis und Kontaktdaten der getesteten Person. Die Daten waren zum Teil weniger als eine Stunde alt, andere reichten Wochen zurück. Durch eine Sicherheitslücke sind Corona-Testergebnisse und persönliche Daten ungeschützt ins Netz gelangt.
Mehrere Standorte betroffen
Nach Recherchen von NDR, RBB und MDR sind Tausende Kunden in Hamburg, Berlin, Leipzig und Schwerte betroffen. Eventus Media International schloss die Sicherheitslücke am Dienstag nach Ostern innerhalb kurzer Zeit, nach eigener Angabe als Reaktion auf eine Anfrage der Reporterinnen und Reporter von NDR, RBB und MDR.
Ein Unternehmenssprecher sagte, man habe "Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können. (...) Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tut uns leid, und wir entschuldigen uns bei den betroffenen Kunden."
Möglicherweise Tausende Datensätze kompromittiert
Aktuell prüfe man, welche Daten betroffen seien. "In Folge dieses Angriffs könnten nach unserem aktuellen Kenntnisstand zwischen 6000 und 7000 Datensätze kompromittiert worden seien, die unberechtigt abgerufen bzw. heruntergeladen wurden. Wir sind noch dabei, diese Zahl weiter einzugrenzen", so der Sprecher. Die betroffenen Kunden würden anschließend informiert.
Der Präsident des BSI, Arne Schönbohm, sprach von einer "gravierenden" Sicherheitslücke, da sie nach derzeitigem Kenntnisstand leicht ausnutzbar gewesen sei und es zugleich um höchst persönliche Daten gehe. Für die digitale Infrastruktur im Gesundheitswesen gebe es hohe Sicherheitsanforderungen: "Bei dem Thema der Testzentren ist es so, dass dort dieses Niveau letzten Endes eben bisher nicht gesetzlich vorgeschrieben gewesen ist", so der BSI-Präsident.
BSI will genauer hinsehen
Das BSI hat mittlerweile eine Sonderabteilung für alle Sicherheitsthemen rund um Covid-19 gestartet, wohl auch, weil dies nicht der erste Fall einer Sicherheitslücke bei einem Testzentrum ist: Erst im März war bekannt geworden, dass bei einem Berliner Testanbieter rund 136.000 Datensätze ohne Zugangsbeschränkung im Netz standen. Hier waren von Getesteten neben dem Testergebnis Name, Anschrift, Handynummer, E-Mail-Adresse und Geburtsdatum sowie Geschlecht und Staatsbürgerschaft abrufbar.
Dass es noch weitere Fälle von Datenlecks bei Testzentren gibt, bestätigte der Sprecher der Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen, Nils Schröder, schriftlich: "In letzter Zeit haben wir bereits bei drei Testzentren Hinweise auf ähnliche Datenpannen erhalten, denen wir nachgehen." Gerade bei Gesundheitsdaten sei der Datenschutz besonders wichtig.
Wenn Sie sich auf der Webseite testcenter-corona.de registriert haben und in einem der dort aufgeführten Zentren auf das Corona-Virus getestet wurden, ist die Wahrscheinlichkeit groß, dass auch Ihr Testergebnis öffentlich einsehbar war. Das BSI rät Betroffenen von Datenlecks, mit der zuständigen Datenschutzbehörde Kontakt aufzunehmen. Die Firma Eventus Media International erklärte auf Anfrage, man wisse noch nicht, welche Kunden konkret von dem Datenleck betroffen seien, plane aber, diese zu informieren.
Betreiber droht Bußgeld
Wenn es um die Sicherheit von personenbezogenen Daten gehe und die Sicherheit der Datenverarbeitung nicht gewährleistet sei, so Schröder weiter, sei auch ein Bußgeld möglich. Die Datenschutzgrundverordnung erlaube hier Bußgelder bis maximal zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Allerdings müsse die Geldstrafe "erforderlich" und "verhältnismäßig" sein.
Im Falle einer Datenpanne gibt es außerdem eine Meldepflicht für die Unternehmen. Innerhalb von 72 Stunden, nachdem die betroffene Firma von der Sicherheitslücke weiß, muss sie die Panne melden, wenn ein Risiko für die betroffenen Personen gegeben ist.