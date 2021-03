Nebst des Testergebnisses waren persönliche Daten wie Name, Adresse, Staatsbürgerschaft, Geburtsdatum, Handynummer, E-Mail und – sofern angegeben – auch die Nummer von Pass- oder Personalausweis abrufbar. Foto: APA/dpa/Kay Nietfeld

Testergebnisse von zahlreichen Testeinrichtungen in Deutschland und Österreich standen schlecht geschützt im Netz. Betroffen waren eine österreichische FH sowie mehrere Corona-Testzentren in Berlin, München und Mannheim. Für beliebige Angreifer wäre es möglich, sensible Datensätze, die Bürgerinnen und Bürger für einen Corona-Test angaben, auszulesen.

Die Datenpanne entstand durch eine Software des Wiener Start-ups Medicus AI. Die Firma, die in den vergangenen Jahren Investments in Millionenhöhe erhalten hat, bietet dem Unternehmen 21DX, das mehrere Schnelltestzentren in Deutschland betreibt, die digitale Infrastruktur für seine Testungen an. Nutzer konnten dort zeitweise mit wenig Aufwand auf fremde Datensätze, die durch die Firma verarbeitet wurden, zugreifen.

Das legen Sicherheitsforscher des deutschen IT-Kollektivs Zerforschung in einer Analyse, die exklusiv dem STANDARD, der "Süddeutschen Zeitung" und dem Rundfunk Berlin-Brandenburg (RBB) vorliegt, offen. In dem System waren zum Zeitpunkt der Schließung der Lücke zumindest 136.000 Datensätze aus über 100 Testzentren auslesbar, so die Forscher. Medicus AI wollte das auf Anfrage nicht bestätigen, sondern sprach zunächst nur von "lediglich sechs Personen", die von der Lücke "betroffen waren". Später räumte man 5.774 Ergebnisse ein und begründete das damit, dass es zu diesem Zeitpunkt so viele Abfragen im System gegeben habe. Ein weitreichenderer Zugriff, etwa die Abfrage sämtlicher Datensätze, wäre durch das System erkannt und unterbunden worden, heißt es nach mehrfacher Nachfrage. Die von Zerforschung genannte Zahl wollte man nicht bestätigen und verwies auf die betroffenen Unternehmen, die Testeinrichtungen betreiben.

BSI informiert

Entdeckt wurde die Schwachstelle am 10. März. Das Kollektiv macht die Lücke gemeinsam mit dem Chaos Computer Club (CCC) und der Grundrechts-NGO Epicenter Works öffentlich. Laut Zerforschung war die Zugriffsmöglichkeit eine Folge schlechter Absicherung. Konkret bietet das Wiener Start-up Medicus AI die Plattform Safeplay an, über die registrierte Nutzer aktuelle und ältere Testergebnisse einsehen können. Der Zugriff für Nutzer war den Forschern zufolge nicht auf die ihnen zugewiesenen Tests beschränkt. Wer sich auf der Plattform einloggte, konnte über die Entwicklungstools des Webbrowsers einsehen, mit welcher Identifikationsnummer der eigene Testbericht in der Datenbank hinterlegt war. Die Option ist üblicherweise über einen Rechtsklick und die Option "Element untersuchen" leicht abrufbar.

Nummer ändern reicht

Eine einfache Änderung der eigenen Identifikationsnummer reichte aus, um die Befunde anderer Nutzer aufzurufen. Aus der Antwort des Servers ließ sich zudem eine PDF-Datei auslesen, die nicht nur Auskunft über Art der Probe, Datum der Entnahme und Auswertung sowie das Resultat des Corona-Tests gab, sondern auch eine Reihe weiterer persönlicher Daten: Enthalten waren Name, Adresse, Staatsbürgerschaft, Geburtsdatum, Handynummer, E-Mail und – sofern angegeben – auch die Nummer von Pass- oder Personalausweis.

Die Entdecker übermittelten ihren Fund an das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Landesbeauftragten für Datenschutz und Informationsfreiheit. Das BSI bestätigt, daraufhin Kontakt zu dem betroffenen Unternehmen aufgenommen zu haben.

Das Wiener Start-Up und 21DX bestätigten, dass es eine Lücke gegeben hat. Diese sei bei einem fehlerhaften Update Mitte Februar entstanden und sei Medicus AI zufolge bereits geschlossen worden. Betroffen waren zahlreiche Testanbieter in Deutschland und Österreich, die die Plattform von Medicus AI einsetzen.

In Österreich nutzte eine Fachhochschule das Safeplay-System für kostenpflichtige Tests von Mitarbeitern und Studierenden. Hier waren über 2.000 Testberichte zugänglich. Die FH erklärt auf Anfrage von STANDARD, "Süddeutsche" und RBB, dass "keinerlei Daten der FH" nach Auskunft von Medicus AI betroffen gewesen seien.

Die österreichische Datenschutzbehörde sei über keinen potenziellen Datenzugriff informiert worden, da "diese nicht zuständig" sei. Das Unternehmen gibt weiters an, Betroffene über einen Datenzugriff informiert zu haben. Zerforschung, der CCC und Epicenter Works entgegnen: "Für Testergebnisse von Freundinnen, auf die wir unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir keine derartige Nachricht erhalten."



"Technisch sehr versiert"

Überhaupt habe es "keinerlei unerlaubte Zugriffe bis auf die des BSI (das die Lücke detektiert hat)" gegeben, heißt es in einer Stellungnahme von Medicus AI an "Süddeutsche", RBB und den STANDARD. Damit werden die Angaben von Zerforschung, CCC und Epicenter Works zurückgewiesen: Das Unternehmen erklärte zunächst, dass die Lücke nur von "technisch sehr versierten Personen mit den entsprechenden Werkzeugen" ausgenutzt hätte werden können. Tatsächlich sei eine einfache Bearbeitung in den Entwicklertools des jeweiligen Browsers den Sicherheitsforschern zufolge ausreichend gewesen. Medicus AI erklärte auf Nachfrage, dass es für den Zugriff einer API, also einer Schnittstelle zur Anwenderprogrammierung, und gewisser Entwicklerfähigkeiten bedürfe. Das Unternehmen räumte zudem zwei weitere Sicherheitslücken ein, nämlich die Möglichkeit, Befunde zu bearbeiten – darunter auch den Namen – sowie Fotos von Tests fremder Personen zu speichern, wobei diese mehr Aufwand erforderten. "Über ein ebenfalls mit jedem Account ungehindert zugängliches Dashboard konnte sekundengenau für jedes Testzentrum eingesehen werden, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte", schreiben die IT-Experten von Zerforschung, dem CCC und Epicenter Works in ihrer gemeinsamen Mitteilung. "Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde" Auch diese Sicherheitslücken seien behoben worden.

Die Sicherheitsforscher von Zerforschung kritisieren im STANDARD-Gespräch die fehlende Datensicherheit. Derart weitreichende Information müssten gar nicht im Netz gespeichert werden– so würde es reichen, wenn eine ID und die Information, ob man positiv oder negativ war, verarbeitet würden. Überhaupt handle es sich um Lücken, die es für derart sensible Gesundheitsdaten nicht geben sollte.

Behördliche Systeme

Thomas Lohninger von der Grundrechts-NGO Epicenter Works bewertet die Pläne der Regierung, den Grünen Impfpass durch Behörden zu entwickeln, positiv. "Ja, der Datenschutz ist in der Pandemie nicht unser größtes Problem, Wirtschaftsinteressen an unseren Gesundheitsdaten gibt es aber schon lange", sagt er zum STANDARD. "Da eine Covid-19-Infektion Langzeitfolgen haben kann, könnte auch das Wissen über die vergangene Covid-19-Erkrankung eines Menschen für lange Zeit zu Benachteiligungen führen." Daher sei es positiv zu bewerten, dass die Regierung das Bundesrechenzentrum mit der Entwicklung des elektronischen Immunitätsausweises beauftragt habe.

Datensicherheit

"Dort ist die Entwicklung zwar sicher nicht billig, aber dafür sind die Interessen klar, und es wird ordentlich gearbeitet", sagt Lohninger. Die meisten Firmen, die den Auftrag für die Entwicklung eines solchen Systems bekämen, würden eine mehrfache Nutzung der Software oder der Daten planen. "Gerade Start-ups sollten mit ihrem 'Move fast an break things'-Ansatz vom Staat nicht in die Nähe sensibler Gesundheitsdaten gelassen werden", kommentiert er im Hinblick auf den aktuellen Fall. Das heiße aber nicht, dass strukturelle Schwächen in staatlichen IT-Systemen nicht in der Pandemie besonders sichtbar würden, merkt Lohninger an – etwa wurde die Anmeldeseite für Corona-Impfungen in Salzburg gehackt und Nutzerdaten entwendet. Zuvor waren Nutzerdaten bei der Anmeldung für Massentests an falsche Adressaten versandt worden.

Im vergangenen Monat überarbeitete die Stadt Wien das Sicherheitskonzept ihrer Teststraßen, nachdem der Datenschutz in Kritik geraten war. Zugangsdaten für Mitarbeiterkonten waren für Besucher einer Wiener Teststraße mit freiem Auge ersichtlich. Die unsicheren Login-Informationen gewährten einen Zugriff auf Gesundheitsdaten aus über 200.000 Testungen. (Muzayen Al-Youssef, Georg Pichler, 18.3.2021)