Nie mehr wichtige Faktenchecks verpassen!
Melden Sie sich für unseren WhatsApp-Channel, die Smartphone-App (für iOS und Android) oder unseren Newsletter an und erhalten Sie alle Faktenchecks und Updates sofort. Einfach anmelden, immer einen Schritt voraus!
epicenter.works veröffentlichte zusammen mit Zerforschung und dem Chaos Computer Club Informationen zu einem Datenleck von über 100 Covid-19-Testzentren in Deutschland und Österreich!
epicenter.works schreibt…[Berlin, Wien] Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis: Aufgrund einer Sicherheitslücke waren sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt über das Internet abrufbar. Betroffen sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen. Wir haben die Schwachstelle den zuständigen Behörden gemeldet.
Die Herausforderungen der COVID19-Pandemie offenbaren vielerorts Digitalisierungsmängel. Der akute Bedarf an digitalen Lösungen motiviert viele Unternehmen zu digitalen Schnellschüssen. Während am Horizont schon fragwürdige Konzepte für digitale Impfnachweise lauern, mussten chaotische Sicherheitsforscherinnen erst einmal zehntausende Testergebnisse samt persönlicher Daten in Sicherheit bringen.
136.000 Testergebnisse von mehr als 80.000 Betroffenen
Das Wiener Unternehmen medicus.ai stellt unter dem Namen safeplay eine „Rundum-Sorglos-Website“ für Testzentren zur Verfügung: Von der Terminbuchung bis zum Online-Testzertifikat ist an alles gedacht – außer an angemessene IT-Sicherheit: Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogenen Daten anderer Nutzerinnen einsehen.
Sicherheitsforscherinnen der Chaosgruppe „Zerforschung“ haben die Schwachstelle nach einem Besuch im einem Berliner Testzentrum der Betreiberin 21dx entdeckt. Das Unternehmen bezeichnet sich als „größter Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobiler Impfteams im Kampf gegen die Pandemie.“
Die Software safeplay von medicus.ai kommt aber nicht nur in Berlin zum Einsatz. Betroffen sind über 136.000 Testergebnisse von mehr als 80.000 Kundinnen bei über 100 Testzentren und mobilen Test-Teams. Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kindergärten.
Wer zählen kann, konnte die Ergebnisse abrufen
Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die „Testzertifikate“ anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen.
Auch Statistiken der Testzentren sekundengenau einsehbar
Doch damit nicht genug: Über ein ebenfalls mit jedem Account ungehindert zugängliches Dashboard konnte auch sekundengenau für jedes Testzentrum eingesehen werden, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Photos waren auch wiederum die Namen der Patientinnen vermerkt.
Zugriff blieb unbemerkt
Laut eigener Aussage hat das verantwortliche Unternehmen medicus.ai die Schwachstellen als Reaktion auf unsere Meldung inzwischen behoben. Zum jetzigen Zeitpunkt ist unklar, ob die Schwachstellen ggf. von anderen früher entdeckt wurden und wie viele Daten auf diese Weise in fremde Hände gelangt sind. Die Zusicherungen des betroffenen Unternehmens medicus.ai, es habe kein unberechtigter Zugriff stattgefunden, lassen sich nicht unabhängig prüfen. Weiterhin behauptet medicus.ai, betroffene Nutzerinnen informiert zu haben. Für Testergebnisse von Freundinnen, auf die wir unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten.
Meldung an zuständige Behörden
Zerforschung und Chaos Computer Club haben das Bundesamt für Sicherheit in der Informationstechnik, den Bundesdatenschutzbeauftragten und die zuständigen Landesdatenschutzbeauftragten in Deutschland über die Schwachstellen bei medicus.ai informiert. Die österreichische NGO epicenter.works übernahm die Kommunikation mit dem für das Wiener Unternehmen zuständigen CERT.at. Ziel war die schnelle Behebung, um die Daten der Kundinnen nicht weiter in Gefahr zu bringen.
Unverantwortliche Fahrlässigkeit
„Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden“, sagte Karl aus dem Team Zerforschung.
„Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“, sagte Linus Neumann vom Chaos Computer Club. Schon im vergangenen Jahr haben Mitglieder des CCC immer wieder eklatante Schwachstellen in Corona-Systemen gemeldet. „Wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt.“, so Neumann weiter.
„Es ist jetzt an den betroffenen Firmen und zuständigen Datenschutzbehörden, diesen Skandal aufzuklären. Diese unverantwortliche Fahrlässigkeit zeigt wie leichtfertig mit unseren Gesundheitsdaten umgegangen wird. Was ständig auf der Strecke bleibt, ist das Vertrauen der Bevölkerung in die angemessene Bewältigung dieser Krise.“, sagte Thomas Lohninger von der Datenschutz-NGO epicenter.works in Wien.
Hintergrund
Medicus.ai ist eine Dienstleisterin, deren System safeplay von mehreren Testzentren verwenden wird, um Registrierungen für Covid-19-Tests und die Übermittlung der Testergebnisse an die getesteten Personen vorzunehmen. Die unter anderem betroffene Testzentrenbetreiberin 21dx wurde von der Berliner Senatsverwaltung für kostenlose Bürgerinnen-Tests in großen Testzentren beauftragt. Das Unternehmen bezeichnet sich als „größten Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobiler Impfteams im Kampf gegen die Pandemie.“
Quelle: epicenter.works
Artikelbild: Shutterstock / Drazen Zigic
Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:
📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.
Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!
* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)