Weiteres Datenleck bei Corona-Testzentren

Bei den mehr als 50 Testzentren von MediCan standen sensible Daten ungeschützt im Netz. Es ist bereits der vierte Fall dieser Art innerhalb weniger Wochen.

Sicherheitsforscher der Gruppe “Zerforschung” haben erneut ein Datenleck bei Corona-Testzentren gefunden: Die Experten konnten auf Namen, Geburtsdaten und E-Mail-Adressen bei dem Schnelltestanbieter MediCan zugreifen. Wie viele Personen von dem Datenleck betroffen sind, ist unklar. Die Testzentren sind mittlerweile geschlossen, die Webseite offline.

Die Experten hatten das digitale Buchungssystem von MediCan untersucht, nachdem WDR, NDR und Süddeutsche Zeitung über mutmaßlich falsche Abrechnungen bei dem Anbieter berichtet hatten. MediCan betrieb demnach 54 Testzentren in 36 Städten – hauptsächlich in Nordrhein-Westfalen.

Dokument mit persönlichen Daten

Wer sich online für einen Test registrieren wollte, musste laut Zerforschung seinen Namen, Adresse, Geburtsdatum, E-Mail-Adresse, Handynummer und auch die Ausweisnummer angeben. Anschließend erhielt man einen Link, um auf das eigene Profil zugreifen zu können. Hier musste die Ausweisnummer als eine Art Zugangsprüfung angegeben werden. Dann ließ sich ein PDF-Dokument mit den eigenen Daten und einem QR-Code zum Vorzeigen vor Ort herunterladen.

Die Sicherheitsforscher fanden gleich zwei Wege, wie Unbefugte an diese PDF-Datei gelangen konnten: Zum einen war sie über eine Internetadresse auch direkt aufrufbar, ohne Zugangsprüfung: man musste nur die richtige Webadresse eingeben. Teil der Adresse war ein siebenstelliger Code aus Großbuchstaben und Zahlen. Dieser habe sich automatisiert durchprobieren und so erraten lassen.

Zum anderen wurde bei der Anmeldung ein sogenannter Unix-Zeitstempel vergeben, der anschließend als Teil einer Internetadresse angezeigt wurde. Tauschte man den Zeitstempel in der Adresse aus, hatte man Zugriff auf auf die PDF-Dateien anderer Personen – inklusive deren persönlicher Daten. “Das geht natürlich auch automatisiert, und in kurzen Stichproben waren mehr als 15 Prozent der Versuche erfolgreich”, heißt es in dem Bericht.

Ausmaß unbekannt

Die Anzahl der von dem Datenleck betroffenen Personen ist unbekannt. Unklar ist auch, ob Unbefugte die Sicherheitslücken ausgenutzt hatten.

Nach Entdecken der Sicherheitslücken hat Zerforschung das Bundesamt für Sicherheit in der Informationstechnik sowie die Landesdatenschutzbeauftrage in Nordrhein-Westfalen informiert. Eine Stellungnahme von MediCare zu dem Datenleck gab es jedoch nicht: Laut NDR, WDR und Süddeutscher Zeitung sind die Testzentren mittlerweile geschlossen. Die Betreiber sitzen wegen der mutmaßlich falschen Abrechnungen in Untersuchungshaft. Der Anwalt von MediCan bestätigte den Medien allerdings die Sicherheitslücke. Die Internetseite des Anbieters ist mittlerweile offline.

“Absolut unglaublich”

Es ist bereits das vierte Mal, dass Zerforschung Sicherheitslücken bei Testzentren entdeckt hat: Bereits im März hatte die Gruppe ein Datenleck gefunden, bei dem unter anderem Namen, Adressen, Geburtsdaten, Staatsbürgerschaft und Ausweisnummern von mehr als 80.000 Personen offen im Netz standen. Von einem weiteren Datenleck im April waren gut 25.000 Menschen betroffen. Und erst Anfang Juni hatten die Experten Sicherheitslücken in einer Software aufgedeckt, die von Testzentren in Berlin, Ravensburg und München eingesetzt wird – hier ließen sich über 80.000 Testergebnisse abrufen.

Die Sicherheitsforscher erklärten, die Lücken bei MediCan reihten sich in eine viel zu lange Liste von Corona-Testzentren mit Problemen bei IT-Sicherheit und Datenschutz ein. “Wir finden es absolut unglaublich, dass selbst Firmen mit mehr als 50 Teststationen ganz offensichtlich kein ausreichendes Interesse an Datensicherheit haben.” Solche Probleme dürfe es einfach nicht geben.

Der Landesdatenschutzbeauftragte Baden-Württemberg hatte Anfang Juni eine Liste mit datenschutzrechtlichen Aspekten veröffentlicht, die Betreiber von Testzentren beachten müssen. Darin heißt es unter anderem: “Der Zugang zu personenbezogenen Daten der einzelnen Testergebnisse darf für Dritte nicht einfach erratbar sein.” Außerdem sollten die Systeme professionellen Sicherheitstests unterzogen werden. “Dies passiert offensichtlich bei vielen Anbietern nicht, denn solche Fehler würden innerhalb kürzester Zeit gefunden werden”, resümiert Zerforschung. (js)