Ihr kompetenter IT-Partner

Ihr kompetenter IT-Partner

Corona Test Datenleck
Weiteres Datenleck bei einem Software-Anbieter für Corona-Testzentren.

Durch die Schwachstelle sei es Dritten möglich gewesen, auf persönliche Daten von Bürgern zuzugreifen. Die Software des Herstellers Innofabrik wird bundesweit eingesetzt. Nach Angaben des Tagesspiegels wird die Software beispielsweise auch in zwei Berliner Testzentren eingesetzt. Allein dort waren die vollen Kontaktdaten von etwa 6.000 Personen einsehbar.

In den vergangenen Wochen kam es wiederholt zu Schwachstellen in der Software bzw. den Schnittstellen von Corona-Schnelltest-Anbietern. Mitte März war beispielsweise bei der Firma 21DX und ihrem Dienstleister Medicus AI eine Sicherheitslücke entdeckt worden, über die sensible Daten von rund 130.000 Betroffenen abgerufen werden konnten.

 
Was genau war passiert?

In der Software von Corona-Schnellteststationen ist ein Datenleck entdeckt worden. Durch eine Sicherheitslücke konnten Unbefugte auf Testergebnisse und andere sensible Daten zugreifen. Mit wenigen Schritten ließen sich Daten von mehreren tausend Registrierungen seit Anfang April abfragen, darunter auch sensible Angaben wie Anschrift und Geburtsdatum.

Um die Daten abzurufen, bedurfte es nicht einmal spezieller IT-Kenntnisse. Wer sich bei der Testzentrale für einen Termin registriert, erhält eine vierstellige Identifikationsnummer. Nach dem Test erhält jede getestete Person noch jeweils eine Schnelltest-Nummer. Diese beiden Nummern reichten aus, um das Ergebnis eines jeden Getesteten dieser Teststation zu erhalten.

Durch einfache Veränderung der URL (Internet-Adresse im Browser) konnten registrierte Nutzer auf Corona-Testergebnisse und persönliche Daten anderer Personen zugreifen – und so etwa Name, Geburtsdatum, Anschrift, Ausweisnummer, Stattsbürgerschaft, Testergebnis und Uhrzeit der Termine einsehen.

Das Datenleck betraf nicht nur die Berliner Teststationen. Auch in Städten wie Hamburg, Düsseldorf, Stuttgart, Würzburg, Heidelberg und kleineren Gemeinden wie Deidesheim, Rottweil oder Westerkappeln wird dieselbe Software genutzt.

 
Schwachstellen vorerst geschlossen

Die Schwachstellen wurden laut den Herstellern zeitnah geschlossen. Ob ein Abfluss der Daten stattgefunden hat, lässt sich nachträglich nicht mehr ermitteln. Allerdings kann und muss man in einem solchen Fall davon ausgehen, dass diese ebenfalls kurzfristig automatisiert abgerufen wurden.

„Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“, erklärte Linus Neumann vom Chaos Computer Club in einem heise-Artikel. Er wirft Gesetzgebern, Behörden sowie Unternehmen Fahrlässigkeit vor: „Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erst mal ihre Hausaufgaben machen.“

Quelle(n):
https://www.tagesspiegel.de/berlin/ergebnisse-von-45-000-menschen-zugaenglich-datenleck-in-software-auch-zwei-berliner-teststationen-betroffen/27128722.html
https://www.heise.de/news/CCC-136-000-Corona-Testergebnisse-waren-samt-persoenlicher-Daten-frei-abrufbar-5991090.html
https://www.swr.de/swraktuell/rheinland-pfalz/sicherheitsluecke-corona-schnelltest-software-100.html

Kontaktieren Sie uns für ein kostenloses Beratungsgespräch

Gerne stellen wir Ihnen ein maßgeschneidertes Angebot oder Training nach Ihren individuellen Wünschen zusammen.
Teile diesen Beitrag mit Freunden und Geschäftspartnern
Share on linkedin
Share on twitter
Share on facebook
Share on whatsapp

Büro: +49 6401 400 9478
Mobil: +49 172 6289 000

Copyright © 2020 secure-technology.de

Bereitgestellt von WordPress

Webpräsenz der Allianz für Cyber-Sicherheit

Copyright © 2020 secure-technology.de

Bereitgestellt von WordPress

Webpräsenz der Allianz für Cyber-Sicherheit

Büro: +49 6401 400 9478
Mobil: +49 172 6289 000