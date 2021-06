Ehrenamtliche der IT Initiative Zerforschung aus Ulm haben beim Kölner Anbieter Corona Point mit insgesamt 34 Testzentren eine Sicherheitslücke entdeckt. Ohne große Mühe konnten sie an die Daten gelangen, erzählt Internetsicherheit-Aktivist Karl. Es sei super trivial gewesen, im Prinzip hätten sie einfach nur hochzählen müssen und hatten am Ende Zugriff auf 175.000 Personendatensätze.

Corona-Testergebnisse und Passwörter in den Datensätzen

In diesen fast 175.000 PDF-Dateien sind neben persönlichen Angaben Testergebnisse, Passwörter und als freiwillige Angabe oft sogar Ausweisnummern enthalten. Stefan Brink, Beauftragter für Datenschutz und Informationssicherheit in Baden-Württemberg, findet vor allem den Zugriff auf Ausweisdaten alarmierend, denn das sei in der Regel die Grundlage dafür, später auch einen Identitätsklau durchführen zu können, wenn diese Daten abhanden kommen.

Wie Brink weiter erklärt, wäre es jedoch nicht das einzige Problem, dass Kriminelle mit einer gestohlenen Identität einen Kredit aufnehmen oder online einkaufen könnten, sondern dass sich auch diese fremden Personen einer Behörde gegenüber als man selbst ausgeben und dort verbindliche Erklärung abgeben können. Das könne ganz erheblichen nicht nur materiell, sondern auch immateriellen Schaden anrichten.

Das Datenleck wurde inzwischen geschlossen

Die Aktivisten informierten das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die entdeckte Lücke. Das wiederum forderte den Betreiber dazu auf, die Lücke zu schließen. Das geschah aber erst nach mehreren Tagen.

Der Betreiber Corona Point räumt auf Nachfrage zwar ein, es wäre möglich gewesen, auf Buchungs- und Testdaten der Kunden von außen zuzugreifen, spricht von menschlichem Versagen und dass man nach umgehender Überprüfung keinen Datenmissbrauch habe feststellen können. Der Präsident des BSI Arne Schönbohm sieht das kritischer. Er findet, dass gerade bei dem Thema der Gesundheitsdaten und dem Thema Corona-Tests die Qualität und die Sicherheit das herausgehobene Gebot der Stunde seien.

Datenschützer sehen den Schutz der Daten weiterhin kritisch

Laut der Testverordnung sind die Betreiber verpflichtet, die Daten bis 2024 aufzubewahren. Doch wie sie geschützt werden müssen, darauf wird in der Testverordnung nicht weiter eingegangen. Datenschützer Brink ist besorgt, weil es schon mehrfach Sicherheitslücken in Testzentren gab, weil wie er sagt die Testzentren häufig nicht von professionellen Anbietern aus dem Gesundheitsbereich, sondern von Newcomern, manchmal vielleicht auch von Glücksrittern betrieben werden. Das mache diese Testzentren geradezu anfällig dafür, Probleme mit der Datensicherheit zu bekommen.

Besondere Hilfestellungen für die Betreiber sind in der Testverordnung nicht vorgesehen. Das Bundesgesundheitsministerium verweist an das Bundesamt für die Sicherheit in der Informationstechnik. Doch vom BSI heißt es, dass noch kein Anbieter von Testzentren nach Rat gefragt habe.

Was passiert mit Daten, wenn Testzentren dicht machen?

Datenschützer fürchten auch, was noch kommen könnte, wenn die Hochsaison der Testzentren einmal vorbei ist. Dann könnten die Test-Firmen wie Eintagsfliegen vom Markt verschwinden oder ihre Betreiber anderen Geschäften nachgehen. Unklar ist, was dann mit mehreren hundert Millionen Dateien passiert und wer dafür sorgt, dass Kriminelle nicht an sie ran kommen.