Weiteres Datenleck bei einem Software-Anbieter für Corona-Testzentren.
Durch die Schwachstelle sei es Dritten möglich gewesen, auf persönliche Daten von Bürgern zuzugreifen. Die Software des Herstellers Innofabrik wird bundesweit eingesetzt. Nach Angaben des Tagesspiegels wird die Software beispielsweise auch in zwei Berliner Testzentren eingesetzt. Allein dort waren die vollen Kontaktdaten von etwa 6.000 Personen einsehbar.
In den vergangenen Wochen kam es wiederholt zu Schwachstellen in der Software bzw. den Schnittstellen von Corona-Schnelltest-Anbietern. Mitte März war beispielsweise bei der Firma 21DX und ihrem Dienstleister Medicus AI eine Sicherheitslücke entdeckt worden, über die sensible Daten von rund 130.000 Betroffenen abgerufen werden konnten.
Was genau war passiert?
In der Software von Corona-Schnellteststationen ist ein Datenleck entdeckt worden. Durch eine Sicherheitslücke konnten Unbefugte auf Testergebnisse und andere sensible Daten zugreifen. Mit wenigen Schritten ließen sich Daten von mehreren tausend Registrierungen seit Anfang April abfragen, darunter auch sensible Angaben wie Anschrift und Geburtsdatum.
Um die Daten abzurufen, bedurfte es nicht einmal spezieller IT-Kenntnisse. Wer sich bei der Testzentrale für einen Termin registriert, erhält eine vierstellige Identifikationsnummer. Nach dem Test erhält jede getestete Person noch jeweils eine Schnelltest-Nummer. Diese beiden Nummern reichten aus, um das Ergebnis eines jeden Getesteten dieser Teststation zu erhalten.
Durch einfache Veränderung der URL (Internet-Adresse im Browser) konnten registrierte Nutzer auf Corona-Testergebnisse und persönliche Daten anderer Personen zugreifen – und so etwa Name, Geburtsdatum, Anschrift, Ausweisnummer, Stattsbürgerschaft, Testergebnis und Uhrzeit der Termine einsehen.
Das Datenleck betraf nicht nur die Berliner Teststationen. Auch in Städten wie Hamburg, Düsseldorf, Stuttgart, Würzburg, Heidelberg und kleineren Gemeinden wie Deidesheim, Rottweil oder Westerkappeln wird dieselbe Software genutzt.
Schwachstellen vorerst geschlossen
Die Schwachstellen wurden laut den Herstellern zeitnah geschlossen. Ob ein Abfluss der Daten stattgefunden hat, lässt sich nachträglich nicht mehr ermitteln. Allerdings kann und muss man in einem solchen Fall davon ausgehen, dass diese ebenfalls kurzfristig automatisiert abgerufen wurden.
„Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“, erklärte Linus Neumann vom Chaos Computer Club in einem heise-Artikel. Er wirft Gesetzgebern, Behörden sowie Unternehmen Fahrlässigkeit vor: „Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erst mal ihre Hausaufgaben machen.“
Quelle(n):
https://www.tagesspiegel.de/berlin/ergebnisse-von-45-000-menschen-zugaenglich-datenleck-in-software-auch-zwei-berliner-teststationen-betroffen/27128722.html
https://www.heise.de/news/CCC-136-000-Corona-Testergebnisse-waren-samt-persoenlicher-Daten-frei-abrufbar-5991090.html
https://www.swr.de/swraktuell/rheinland-pfalz/sicherheitsluecke-corona-schnelltest-software-100.html