Datenleck auf Anmeldeseite für Corona-Test in Salzburg

Auf der Internetseite salzburg-testet.at, die seit Mitte Jänner als Anmeldeplattform für Corona-Antigentests in Salzburg dient, ist es offenbar zu unberechtigten Downloads der Daten von 2.401 Bürgern gekommen. Die Datenschutzbeauftragten von Land und Rotem Kreuz informierten am Donnerstag in einer E-Mail alle Betroffenen. Potenziell infrage kommen alle jene Benutzer, die sich zwischen 14. Jänner, 22.20 Uhr, und 15. Jänner, 21.00 Uhr, für einen Test registriert haben.

Wie viele und welche Benutzer dabei konkret betroffen sind, sei anhand der Logfiles aber nicht definierbar. Es wurden zwar rund 5.000 Downloads verzeichnet, weil sich im betroffenen Zeitraum aber nur 2.401 Menschen für einen Coronatest angemeldet haben, dürften wohl etliche Datensätze zwei oder mehrfach heruntergeladen worden sein, hieß es in einer Stellungnahme gegenüber der APA. Von den persönlichen Daten waren Vor- und Nachname, das Geburtsdatum, Telefonnummer und E-Mail-Adresse und - wenn sie angegeben wurde - die Sozialversicherungsnummer betroffen.

"Das Datenleck ist gemeinsam mit der Software-Firma noch am 15. Jänner behoben wurden, wir haben auch unverzüglich die Datenschutzbehörde informiert", sagte Roberta Thanner vom Roten Kreuz Salzburg zur APA. Der Landesverband war vom Land Salzburg mit der Abwicklung der Anmeldung und der Tests beauftragt worden. Wer hinter den Downloads stehen könnte, sei noch völlig offen. "Es muss jemand mit profunder IT-Kenntnis und kommerzieller Software gewesen sein."

Ablauf

Fest stehe auch, wie der unerlaubte Download technisch erfolgt ist. Nach erfolgter Anmeldung auf der Website hatten Benutzer eine Downloadmöglichkeit ihres sogenannten Laufzettels, auf dem die für eine Anmeldung notwendigen personenbezogenen Daten zusammengefasst waren. Mit einem Klick auf "Probandenlaufzettel herunterladen" wurde der Download des Laufzettel-PDFs durchgeführt, der über die Barcode-ID mit der Anmeldung verknüpft war.

Der Link zum Probandenlaufzettel war im Browser nicht direkt ersichtlich, da aber die Barcode-ID aufsteigend vergeben wurde, konnte mit Hilfe der Software die Barcode-ID abgelesen und verändert werden. Daraus folgend konnte auf die Laufzettel anderer Benutzer zugegriffen werden.

Die nun gesetzten Sicherheitsmaßnahmen würden in Zukunft einen unerlaubten Download verhindern, versicherte Thanner heute. Der Download der Laufzettel sei auf eine eigens abgesicherte Seite verlinkt, die noch zusätzlich gesichert worden sei. Auch dass sich jemand mit Hilfe der Daten zu einem Test anmeldet, schließen die Verantwortlichen aus. An der Teststation würden die Daten erneut kontrolliert und überprüft werden.