Tausende betroffen: Erneutes Datenleck bei Corona-Tests

Die Corona-Testergebnisse und persönliche Daten von Tausenden Menschen sind ungeschützt ins Netz gelangt. Von Personen, die sich Ende März und Anfang April in Testzentren der Firma Eventus Media International auf das Coronavirus testen ließen, waren neben dem Testdatum und dem Ergebnis auch Wohn- und E-Mail-Adressen, Telefonnummern und Geburtsdaten abrufbar. Das belegen Recherchen von NDR, RBB und MDR. Eventus betreibt neun Testzentren in Berlin, Hamburg, Leipzig, Dortmund und Schwerte.

Zu dem Datenleck führte eine Sicherheitslücke auf der Webseite testcenter-corona.de, über die man sich für einen Test anmelden kann. Sicherheitsexperten des IT-Kollektivs „Zerforschung“ entdeckten die Lücke informierten das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowieso die öffentlich-rechtlichen Anstalten NDR, RBB und MDR. Betroffen waren den Recherchen zufolge Tausende Kunden der Testzentren in Hamburg, Berlin, Leipzig und Schwerte.

Registrierungscode abrufbar

Bei jeder Registrierung auf der Webseite wird ein Code generiert, mit dem Nutzer ihr Ergebnis einsehen können. Codes für mindestens 17.000 Testtermin-Registrierungen seien ohne Zugangsbeschränkung aufrufbar gewesen und damit einhergehend bereits vorhandene Ergebnisse von mindestens 7.000 Tests. ReporterInnen von NDR, RBB und MDR konnten in einer Stichprobe mehrere Dutzend Test-Zertifikate herunterladen, teilweise waren die Daten weniger als eine Stunde alt.

Als Reaktion auf die Recherchen, heißt es, schloss Eventus Media International die Sicherheitslücke am Dienstag nach Ostern. Man habe „Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können. (...) Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tut uns leid, und wir entschuldigen uns bei den betroffenen Kunden“, erklärte ein Unternehmenssprecher. Derzeit prüfe man, welche Daten und wieviele Datensätze genau betroffen sind.

Kein Einzelfall

Das BSI nennt die Sicherheitslücke „gravierend“, da sie leicht auszunutzen sei. Das Bundesamt hat eine Sonderabteilung für alle Sicherheitsthemen bezüglich Covid-19 gestartet, auch weil es nicht das erste Datenleck rund um die Testcenter ist. Mitte März wurde ein Datenleck bei einem weiteren Anbieter bekannt. Von Corona- und Impfzentren, die die Software Safeplay nutzen, landeten 136.000 Testergebnisse von über 80.000 Personen im Netz. Durch eine einfache manuelle Änderung der Safeplay-Internetadresse konnte man unkompliziert die Daten anderer registrierter Nutzer einsehen. Die Schwachstelle wurde nach einem Hinweis des Chaos Computer Computer Clubs vom zuständigen Unternehmen Medicus behoben.

Der Sprecher der Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen, Nils Schröder, bestätigte gegenüber der Tagesschau, dass man bereits bei drei weiteren Testzentren Hinweise auf ähnliche Datenpannen habe. Da die Sicherheit personenbezogener Daten und ihrer Verarbeitung an dieser Stelle verletzt wurde, droht den Betreibern aufgrund der DSGVO zudem ein Bußgeld.