Corona-Tests: Datenleck legt persönliche Daten und Ergebnisse offen

Passt schon: Wegen einer Sicherheitslücke waren Tausende an persönlichen Daten und Testergebnisse von Personen einsehbar, die sich in in Hamburg, Berlin, Leipzig und Schwerte einem Coronatest unterzogen haben. Ergänzung: Feedback eines Blog-Lesers und Betroffenen. Ergänzung 2: Und die Leute können einen "kostenlosen Coronatest" in Anspruch nehmen, habe ich von einem Betroffenen erfahren.


Anzeige

Ich bin gerade über soziale Medien auf diesen Bericht der Tagesschau gestoßen. Dort schreibt man, dass der Fall durch Recherchen von NDR, RBB und MDR aufgedeckt wurde. Nach meinem Verständnis geht das Ganze aber diesen Artikel des IT-Kollektivs "Zerforschung" zurück, die bei einem Testzentrum des Anbieters Eventus Media International (EMI) zum Test waren. Die per Mail zugesandten Testergebnisse weckten Misstrauen und Neugier, da es bereits im März 2021 einen ähnlichen Vorfall gab. Aber nun haben wir April, und da ist alles anders.

Die Meldung des Rechercheverbunds

Nach dem Bericht der Tagesschau waren Tausende persönlicher Daten wie Wohn- und Mailadressen, Telefonnummern, Geburtsdatum, Testdatum und das COVID-19-Testergebnis frei im Netz abrufbar. Betroffen waren alle Kunden, die sich zwischen Ende März und Anfang April 2021 in Testzentren der Firma Eventus Media International in den Städten Berlin, Hamburg, Leipzig, Dortmund und Schwerte auf das Coronavirus untersuchen ließen.

Im Bericht heißt es, dass der Grund für die Datenpanne eine Sicherheitslücke auf der Website des Betreibers war. Sicherheitsexperten des IT-Kollektivs "Zerforschung" hatten die Schwachstelle entdeckt und anschließend das Bundesamt für Sicherheit in der Informationstechnik (BSI) und auch Reporterinnen und Reporter von NDR, RBB und MDR informiert.

Testzentrum eines privaten Anbieters

Die Firma Eventus Media International betreibt unter anderem in Leipzig, Berlin, Hamburg, Schwerte und Dortmund Testzentren unter der Marke testcenter-corona.de und bieten Software sowie Infrastruktur als Franchise-Modell an. Es handelt sich dabei um einen Antigen-Schnelltest – nachfolgend ein Screenshot der betreffenden Anbieterseite. Dieser wirbt mit "Schnell, sicher und zuverlässig auf Covid-19 testen lassen", was wohl einige Kommunen dankend gegen klingende Münze angenommen haben.


Anzeige

Eventus Media International Covid-19-Test-Center

DSGVO-Schlamassel beim Testzentrum

Termine werden online gebucht und Getestete erhalten die Ergebnisse per E-Mail. Das hatte auch ein Angehöriger des IT-Kollektivs "Zerforschung" wahrgenommen, wie man hier schreibt. Diese Mail mit dem Link zum Testergebnis kam dem Empfänger etwas "merkwürdig" vor, worauf er das Ganze mal etwas näher unter die Lupe genommen.

Die Betreiber haben WordPress als Basis zur Verwaltung der betreffenden Kundendaten verwendet. Zum Abruf der Testergebnisse wurden zufällige 10-stellige, alphanumerische Zeichenketten verwendet, was schon mal gut ist. Problem ist aber die Implementierung der Benutzerverwaltung in WordPress durch den Anbieter. Hier wurde ein eigener Inhaltstyp für die Daten deklariert und war per WordPress-API abrufbar. Aus unerklärlichen Gründen war die API-Zugriffsmöglichkeit für diesen Inhaltstyp aktiviert, wie das IT-Kollektiv hier schreibt.  In Folge ließen sich die Daten der registrierten Benutzer über diese API abrufen. Ein Unternehmenssprecher wird von Tagesschau so zitiert, man habe das

Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können. (…) Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tut uns leid, und wir entschuldigen uns bei den betroffenen Kunden.

Laut Tagesschau prüft man, wie viele Datensätze kompromittiert und ggf. unberechtigt abgerufen wurden – die Rede ist von 6.000 bis 7.000 Datensätzen in einem Bestand von ca. 17.000. Die betroffenen Kunden sollen informiert werden. Der Präsident des BSI, Arne Schönbohm, spricht von einer "gravierenden" Sicherheitslücke. Für die digitale Infrastruktur im Gesundheitswesen gebe es hohe Sicherheitsanforderungen: "Bei dem Thema der Testzentren ist es so, dass dort dieses Niveau letzten Endes eben bisher nicht gesetzlich vorgeschrieben gewesen ist", so der BSI-Präsident.

Der Sprecher der Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen, Nils Schröder, bestätigte dem Rechercheverbund, dass es bei weiteren Testzentren ähnliche Hinweise auf Datenschutzverletzungen gebe. Den Betreibern der betreffenden Testzentren droht nun wegen der DSGVO-Verstöße ein Bußgeld. Da werden wir künftig noch viel Spaß haben – wie hieß es bei einer Werbung einer bestimmten Partei doch mal "Digitalisierung first, Bedenken second" – und im Zusammenhang von COVID-19 lese ich auch hier im Blog gelegentlich die Meinung, dass der Datenschutz all die schöne COVID-19-Verfolgung behindere. Muss wohl auf die Betreiber der Testzentren abgefärbt haben, die Dollarzeichen gesehen haben – und nun kommt das böse Erwachen, oder die Fälle werden unter den Tisch gespült.

Insights eines Betroffenen

Ergänzung: Blog-Leser Constantin hat mich per Mail kontaktiert, weil er den Blog-Beitrag gelesen hatte und schrieb:

Hier mal kurz meine Erfahrungen geschildert….

Natürlich habe ich diesen Anbieter auch gerade erst am Dienstag verwendet, damit ich einen negativen Test für meinen Friseurbesuch vorweisen kann. Ich hatte mich noch geärgert, das man dort zwingend Personalausweis und Krankenkassennummer angeben muss… Am Dienstag abend bekam ich dann eine Email das sich mein Abrufcode für mein Testergebnis geändert hat…. Auf die Nachfrage warum das passiert ist, habe ich bisher keine Antwort vom Anbieter bekommen. Aber jetzt weiß ich ja warum….

Mittlerweile ist Personalausweis nur noch Optional und das Feld für die Krankenkassennummer gar nicht mehr vorhanden. Hinter dem Anbieter steckt wohl die Eventus Media International die sich seit Corona wohl mit Tests und Masken eine goldene Nase verdient…

Das sind natürlich ganz üble Sachen, wenn Ausweisnummer und Krankenkassendaten abgefragt werden.Constantin hat jetzt eine Anfrage an den Anbieter gestell, welche Daten abhanden gekommen sind.

Ich formuliere es mal etwas flapsig: Du gehst nichtsahnend zum Corona-Test in deiner Gemeinde, kommst nach Hause, und während Du auf die Mail mit dem Testergebnis wartest, beschließt Du schnell noch den Rasen zu mähen. Schon beugt sich der Nachbar über den Zaun: "Höma, wo hast Du dir denn den Tripper, ups versprochen, meinte den Corona, gefangen? Deine Frau geht nicht nicht aus dem Haus und Du feierst doch höchstens heimlich nachts mit deinen Kumpels im Party-Keller." Du kuckst verdutzt und der Nachbar grinst süffisant: "Habe ich schriftlich, Schwarz auf Weiß  – Du bist positiv. Schöne neue Welt, die Digitalisierung macht's möglich."

Ergänzung 2: Constantin hat mir noch eine zweite Mail geschickt – er hatte beim Betreiber angefragt, warum er nicht informiert wurde. Er verwies auf diese FAQ des Corona-Test-Centrums zum Vorfall. Dort heißt es zum Thema Entschädigung:

Als Entschädigung bieten wir allen Betroffenen an, einen kostenlosen Corona-Test in unseren Testzentren in Anspruch zu nehmen. Darüber hinaus stellen wir Ihnen zusätzlich zehn FFP2 Masken kostenfrei zur Verfügung.

Wow, ich wollte schon Hurra schreien, da fiel mir ein "waren die Corona-Tests nicht eh kostenlos?" – ok, immerhin gibt es 10 FFP2-Masken. Doofe Sache für alle Betroffenen – wird aber nicht der letzte Vorfall sein – progressiv, wie wir nun mal sind, glauben wir der FDP und ihrem Spruch "Digitalisierung first, Bedenken second" – passt schon.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Corona-Tests: Datenleck legt persönliche Daten und Ergebnisse offen

  1. fefe sympathisant sagt:

    wo troege sind versammeln sich schweine.
    ist ja wohl ganz klar.

    warum lassen die immer anfaenger ran ohne proven track record dass die wissen was sie machen.

    • Peter sagt:

      >> wo troege sind versammeln sich schweine.

      Danke – kürzer, knapper und wahrer geht's nicht ! (leider nicht nur beim Thema COVID, sondern bei vielen Themen mit staatlichen "Trögen")

    • Andreas sagt:

      Eine weitere Variante: Der Trog bleibt immer der gleiche, nur die Schweine, die daraus fressen, wechseln ab und zu.

      • David sagt:

        … nicht einmal das. Die Schweine sind immer dieselben – sie wechseln sich nur ab …

        Ist ne Sauerei! Da können wir allerdings sehen, wie "sorgsam" mit unseren Daten umgegangen wird.
        Ist eben das "Gold" des Digitalen Zeitalters.

  2. ibbsy sagt:

    Für den geneigten Leser, der sich in naher Zukunft testen lassen möchte:

    Im März war der Betreiber 21Dx betroffen, den das Team "Zerforschung" unter die Lupe genommen hatte. Da diese ja im Zuge dessen umfassende Information über die Lücken in der von ihnen eingesetzten Software erhalten haben, dürften deren Testcenter inzwischen "datensicher" sein.
    Testzentren von denen gibt es in Berlin, Frankfurt, Mannheim, Mühldorf am Inn, München und Schweinfurt.

  3. Ralf S. sagt:

    Hatte den Artikel heute Morgen schon auf tagesschau.de gelesen und sofort gedacht, "was wird das mal ein Spaß, wenn dann demnächst die "ach so sichere" digitale Patientenakte (wohl dann auch irgendwann mal verpflichtend) aufs Smartie-Phone kommt…" Schön, wenn dann mal wieder ein Software-Update-Server – so wie aktuell bei Gigaset – virenverseuchte Updates verteilt und dann z. B. alle WhatsApp-Kontakte meine Krankenakte bekommen. Vielleicht kommen ja dann auch dafür alle Krankenakten von den Kontakten zurück…?! Wäre wenigstens dann ein gerechter Ausgleich. Und: Wir haben doch alle nichts zu verbergen… Hört man doch immer wieder mal, so ein unüberlegtes Gesabbel.

  4. Dekre sagt:

    Ja, das Ganze wird noch Lustig.

    Solange man nicht in der Lage ist (es fehlt der Wille) das Google -Imperium, das Aamzon-Imperium und Fazebuk & Co in deutliche Schranken zu weisen und endlich mal Ertragsteuern sachgerecht zu erheben in den Ländern, so ist es mal wieder ein Beleg der
    # Korrumpiertheit und Blindheit und Lügen aller relevanten Entscheidungsträger in allen Regiernugen dieser Welt und in der EU-Kommission.

    Nichts ist kostenlos!

    Es ist wie mit dem Geld, nur leicht anders. Beim Geld ist es so: Es ist nicht weg! Es hat nur Jemand anders (einer). Bei den Daten ist es so, die haben (nun) mehrere und nutzen diese aus. Das ist Kommunismus (?) – Die Verteilung der Daten an alle.

    Blauäugigkeit im imperialen und egoistischen Zeitalter! Um alle zu täuschen, hat man die örter mit undmöglichliche Verbindungen mit "demokratisch" und "sozial" und Adäquaten (wie "Bürgerbeteiligung") mal locker in die Welt gesetzt. Das Ganze prallt in Deutschland auf eine schicke Bürokratie.

    Datenschutz und Internet und Egoismus treffen aufeinanger und stehen sich nett gegenüber.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.