Test­zen­tren: 136.000 Test­ergeb­nis­se stan­den unge­schützt im Netz

Corona-Impfzentrum Berlin - Deutsches Rotes Kreuz - Eika-Heß-Eisstadion - Müllerstraße - BerlinFoto: Corona-Impfzentrum Berlin am Erika-Heß-Eisstadion (Berlin), Urheber: dts Nachrichtenagentur

Bei einer Soft­ware für Coro­na-Test­zen­tren hat es offen­bar eine grö­ße­re Sicher­heits­lü­cke gegeben.

Min­des­tens 136.000 Covid-19-Test­ergeb­nis­se stan­den unge­schützt im Netz, berich­ten „Süd­deut­sche Zei­tung”, der RBB und der Wie­ner „Stan­dard” unter Beru­fung auf eine Ana­ly­se von Zer­for­schung – einem Kol­lek­tiv von IT-Exper­ten – und Cha­os Com­pu­ter Club.

Zusam­men mit den Ergeb­nis­sen der Schnell­tests waren dem­nach jeweils ein­deu­tig iden­ti­fi­zie­ren­de Daten wie Name, Adres­se, Staats­bür­ger­schaft, Mobil­funk­num­mer, Geschlecht, E‑Mail-Adres­se und in eini­gen Fäl­len die Aus­weis­num­mer im Inter­net zu fin­den. Unbe­fug­te hät­ten die Daten als PDF her­un­ter­la­den kön­nen. Dazu muss­ten sie sich nur ein Kon­to bei einem Test­zen­trum erstel­len und ihren Inter­net-Brow­ser trick­reich nut­zen. Über eine zwei­te Sicher­heits­lü­cke waren Sta­tis­ti­ken über die aktu­el­len Zah­len der posi­ti­ven und nega­ti­ven Ergeb­nis­se in den Zen­tren ein­seh­bar, sowie mit etwas Auf­wand Fotos der QR-Codes, die Getes­te­te erhal­ten, samt Testergebnis.

Bei­de Sicher­heits­lü­cken wur­den dem Bericht zufol­ge in der ver­gan­ge­nen Woche geschlos­sen. Die Sicher­heits­lü­cken klaff­ten in der Soft­ware eines öster­rei­chi­schen Unter­neh­mens. Vie­le Test­zen­tren set­zen das Pro­gramm ein, um Ter­mi­ne zu ver­ge­ben und Getes­te­ten digi­tal ihre Ergeb­nis­se zugäng­lich zu machen. Betrof­fen sind vor allem Test­zen­tren, die ein Münch­ner Unter­neh­men betreibt. Dar­un­ter sind Zer­for­schung und CCC zufol­ge Ein­rich­tun­gen in Mün­chen, Ber­lin, Mann­heim und im öster­rei­chi­schen Klagenfurt.

Nach der Ent­de­ckung der Lücken alar­mier­ten Zer­for­schung und CCC das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, das wie­der­um den Betrei­ber infor­mier­te. Das Unter­neh­men teil­te der SZ mit, die Sicher­heits­lü­cke sei „durch einen Feh­ler in einem Update der Soft­ware von Mit­te Febru­ar” ent­stan­den. Das BSI erklär­te, ihm lägen „der­zeit kei­ne Anhalts­punk­te dafür vor, dass die Schwach­stel­le miss­bräuch­lich aus­ge­nutzt wor­den ist”.

Anmer­kun­gen zum Bei­trag? Hin­weis an die Redak­ti­on sen­den.