Tausende Corona-Testergebnisse offen im Netz einsehbar

"Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis: Aufgrund einer Sicherheitslücke waren sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt über das Internet abrufbar", heißt es in einer Aussendung der Datenschutzexperten von epicenter.works. Betroffen seien demnach mehr als 136.000 COVID-19-Testergebnisse von mehr als 80.000 Personen.

Laut epicenter.works wurde eine Schwachstelle in einer Software festgestellt, die in Corona-Testzentren in Deutschland und Österreich zum Einsatz kommt. Darunter befinden sich Teststationen in Unternehmen, Schulen und Kindergärten.

Angeblich kein Zugriff auf sämtliche Datensätze

Medicus.ai, das Wiener Unternehmen, das die betroffene IT-Infrastruktur anbietet, bestätigt gegenüber dem Standard eine Sicherheitslücke. Es spricht aber davon, dass deutlich weniger Testergebnisse betroffen sind. Demnach seien 5.774 Testdaten offen im Netz gelandet. Ein Zugriff auf sämtliche Datensätze der Testergebnisse sei verhindert worden, so medicius.ai gegenüber der Zeitung.

Um die Daten von Getesteten einsehen zu können, müsse man sich nur einen Account auf der entsprechenden Website eines der betroffenen Testzentren anlegen. Offenbar wurden die Testergebnisse mit fortlaufenden Nummern ohne ausreichenden Schutz den Getesteten zur Verfügung gestellt.

"Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die "Testzertifikate" anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen", schreibt epicenter.works.

Testergebnisse in Echtzeit

Darüber hinaus war angeblich auch ein Dashboard des Testanbieters öffentlich einsehbar. Dabei konnte in Echtzeit die Auswertung der Corona-Tests in den einzelnen Testzentren verfolgt werden. Auch Fotos von den ausgewerteten Teststreifen - zum Teil samt Namen der Getesteten - sollen über das Live-Dashboard einsehbar gewesen sein.

Entdeckt wurde die Schwachstelle in einem Testzentrum in Berlin von den Sicherheitsforschern von "Zerforschung", heißt es von epicenter.works. Die lückenhafte Software stammt demnach von dem Wiener Unternehmen medicus.ai, die unter der Bezeichnung "safeplay" die betroffene "Rundum-Sorglos-Website" für Betreiber von Testzentren anbieten.

"Laut eigener Aussage hat das verantwortliche Unternehmen medicus.ai die Schwachstellen als Reaktion auf unsere Meldung inzwischen behoben", schreibt epicenter.works. Laut dem Unternehmen habe es "keinerlei unerlaubte Zugriffe" auf die Testergebnisse gegeben, wie medicus.ai in einer Stellungnahme. Eine Anfrage der futurezone bei medicus.ai läuft.

Statement von medicus.ai

Update 18.3., 14:00: medicus.ai hat folgende Stellungnahme zugeschickt:

Am 11. März wurde Medicus vom BSI über eine Sicherheitslücke in SafePlay informiert. Diese Lücke ermöglichte theoretisch, dass eingeloggte Nutzer mit IT-Kenntnissen die Befunde anderer Nutzer abrufen konnten. Der ursächliche Fehler war durch ein Update in die Software gelangt und wurde umgehend und innerhalb weniger Stunden nach Benachrichtigung durch das BSI behoben.

Auf Basis eingehender Untersuchungen konnten Medicus feststellen, dass ein Zugriff über die Sicherheitslücke zum ersten Mal wenige Stunden vor der Benachrichtigung durch das BSI geschah. Davon waren ausschließlich die Datensätze von 6 Nutzern betroffen. Alle diese Nutzer gehören zu einem Kunden von Medicus, 21Dx GmbH. Weitere Kunden (und deren Nutzer) waren nicht betroffen. Nichtsdestotrotz hat Medicus all ihre Kunden umgehend informiert, sowohl über die initiale Information des BSI als auch über alle Korrekturen und Ergebnisse der Untersuchungen.