In Österreich will die Regierung Veranstalter und Gastronomiebetriebe künftig dazu verpflichten, (freiwillige) Kontaktlisten ihrer Gäste zu sammeln. Die Idee dahinter: Das Contact Tracing soll erleichtert werden, meldet sich ein Kunde als infiziert, können andere Besucher rechtzeitig in Quarantäne geschickt werden.

In Deutschland werden solche Listen schon seit einiger Zeit erstellt – manchmal auch digital. Mitglieder des Chaos Computer Clubs (CCC) wurden bei einem Besuch dazu aufgefordert, sich in einer solchen einzutragen. Die Lokalbetreiber versprachen eine sichere Cloud-Software, die im Hintergrund eingesetzt werden.

Sensible Daten

Daraufhin sahen sich die IT-Experten die Web-App des Betreibers Gastronovi genauer an und entdeckten mehrere Schwachstellen. So war es möglich, "im Handumdrehen" Administratorrechte einzuholen. Daraufhin seien mehrere Millionen sensible Datensätze in Corona-Kontaktlisten und Reservierungen ersichtlich gewesen. Manche von ihnen seien über zehn Jahre alt – demnach dürfte das gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Die CCC-Experten fanden außerdem unzureichend geschützte Passwörter und konnten das gesamte Bestellsystem übernehmen. Dadurch wäre es möglich gewesen, Bestellungen für Unbekannte zu tätigen. Der Cloud-Anbieter reagierte rasch und schloss die Lücken.

Papier sicherer

"Denken first, digital second", kommentiert Linus Neumann, Sprecher des Chaos Computer Clubs. "Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen."

Anfang des Monats sorgte für Aufregung, dass solche Listen nicht nur für das Contact Tracing eingesetzt werden. So wurde bekannt, dass manche Polizeibehörden die Listen zur Strafverfolgung nutzten. (red, 30.8.2020)