{"id":252035,"date":"2021-04-09T12:51:44","date_gmt":"2021-04-09T10:51:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252035"},"modified":"2023-03-20T22:52:27","modified_gmt":"2023-03-20T21:52:27","slug":"corona-tests-datenleck-legt-persnliche-daten-und-ergebnisse-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/09\/corona-tests-datenleck-legt-persnliche-daten-und-ergebnisse-offen\/","title":{"rendered":"Corona-Tests: Datenleck legt persönliche Daten und Ergebnisse offen"},"content":{"rendered":"

Passt schon: Wegen einer Sicherheitsl\u00fccke waren Tausende an pers\u00f6nlichen Daten und Testergebnisse von Personen einsehbar, die sich in in Hamburg, Berlin, Leipzig und Schwerte einem Coronatest unterzogen haben. Erg\u00e4nzung:<\/strong> Feedback eines Blog-Lesers und Betroffenen. Erg\u00e4nzung 2:<\/strong> Und die Leute k\u00f6nnen einen \"kostenlosen Coronatest\" in Anspruch nehmen, habe ich von einem Betroffenen erfahren.<\/p>\n

<\/p>\n

\"\"Ich bin gerade \u00fcber soziale Medien auf diesen Bericht der Tagesschau<\/a> gesto\u00dfen. Dort schreibt man, dass der Fall durch Recherchen von NDR, RBB und MDR aufgedeckt wurde. Nach meinem Verst\u00e4ndnis geht das Ganze aber diesen Artikel<\/a> des IT-Kollektivs \"Zerforschung\" zur\u00fcck, die bei einem Testzentrum des Anbieters Eventus Media International (EMI) zum Test waren. Die per Mail zugesandten Testergebnisse weckten Misstrauen und Neugier, da es bereits im M\u00e4rz 2021 einen \u00e4hnlichen Vorfall<\/a> gab. Aber nun haben wir April, und da ist alles anders.<\/p>\n

Die Meldung des Rechercheverbunds<\/h2>\n

Nach dem Bericht der Tagesschau waren Tausende pers\u00f6nlicher Daten wie Wohn- und Mailadressen, Telefonnummern, Geburtsdatum, Testdatum und das COVID-19-Testergebnis frei im Netz abrufbar. Betroffen waren alle Kunden, die sich zwischen Ende M\u00e4rz und Anfang April 2021 in Testzentren der Firma Eventus Media International in den St\u00e4dten Berlin, Hamburg, Leipzig, Dortmund und Schwerte auf das Coronavirus untersuchen lie\u00dfen.<\/p>\n

Im Bericht hei\u00dft es, dass der Grund f\u00fcr die Datenpanne eine Sicherheitsl\u00fccke auf der Website des Betreibers war. Sicherheitsexperten des IT-Kollektivs \"Zerforschung\" hatten die Schwachstelle entdeckt und anschlie\u00dfend das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) und auch Reporterinnen und Reporter von NDR, RBB <\/em>und MDR<\/em> informiert.<\/p>\n

Testzentrum eines privaten Anbieters<\/h2>\n

Die Firma Eventus Media International betreibt unter anderem in Leipzig, Berlin, Hamburg, Schwerte und Dortmund Testzentren unter der Marke testcenter-corona.de und bieten Software sowie Infrastruktur als Franchise-Modell an. Es handelt sich dabei um einen Antigen-Schnelltest – nachfolgend ein Screenshot der betreffenden Anbieterseite. Dieser wirbt mit \"Schnell, sicher und zuverl\u00e4ssig auf Covid-19 testen lassen\", was wohl einige Kommunen dankend gegen klingende M\u00fcnze angenommen haben.<\/p>\n

\"Eventus<\/p>\n

DSGVO-Schlamassel beim Testzentrum<\/h2>\n

Termine werden online gebucht und Getestete erhalten die Ergebnisse per E-Mail. Das hatte auch ein Angeh\u00f6riger des IT-Kollektivs \"Zerforschung\" wahrgenommen, wie man hier<\/a> schreibt. Diese Mail mit dem Link zum Testergebnis kam dem Empf\u00e4nger etwas \"merkw\u00fcrdig\" vor, worauf er das Ganze mal etwas n\u00e4her unter die Lupe genommen.<\/p>\n

Die Betreiber haben WordPress als Basis zur Verwaltung der betreffenden Kundendaten verwendet. Zum Abruf der Testergebnisse wurden zuf\u00e4llige 10-stellige, alphanumerische Zeichenketten verwendet, was schon mal gut ist. Problem ist aber die Implementierung der Benutzerverwaltung in WordPress durch den Anbieter. Hier wurde ein eigener Inhaltstyp f\u00fcr die Daten deklariert und war per WordPress-API abrufbar. Aus unerkl\u00e4rlichen Gr\u00fcnden war die API-Zugriffsm\u00f6glichkeit f\u00fcr diesen Inhaltstyp aktiviert, wie das IT-Kollektiv hier schreibt<\/a>.\u00a0 In Folge lie\u00dfen sich die Daten der registrierten Benutzer \u00fcber diese API abrufen. Ein Unternehmenssprecher wird von Tagesschau so zitiert, man habe das<\/p>\n

Testcenter, einschlie\u00dflich der damit verbundenen Datenverarbeitungssysteme, mit gro\u00dfer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet um den Kunden, die das Testangebot in Anspruch nehmen wollen, die gr\u00f6\u00dftm\u00f6gliche Sicherheit gew\u00e4hrleisten zu k\u00f6nnen. (…) Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tut uns leid, und wir entschuldigen uns bei den betroffenen Kunden.<\/p><\/blockquote>\n

Laut Tagesschau pr\u00fcft man, wie viele Datens\u00e4tze kompromittiert und ggf. unberechtigt abgerufen wurden – die Rede ist von 6.000 bis 7.000 Datens\u00e4tzen in einem Bestand von ca. 17.000. Die betroffenen Kunden sollen informiert werden. Der Pr\u00e4sident des BSI, Arne Sch\u00f6nbohm, spricht von einer \"gravierenden\" Sicherheitsl\u00fccke. F\u00fcr die digitale Infrastruktur im Gesundheitswesen gebe es hohe Sicherheitsanforderungen: \"Bei dem Thema der Testzentren ist es so, dass dort dieses Niveau letzten Endes eben bisher nicht gesetzlich vorgeschrieben gewesen ist\", so der BSI-Pr\u00e4sident.<\/p>\n

Der Sprecher der Landesbeauftragten f\u00fcr Datenschutz und Informationssicherheit Nordrhein-Westfalen, Nils Schr\u00f6der, best\u00e4tigte dem Rechercheverbund, dass es bei weiteren Testzentren \u00e4hnliche Hinweise auf Datenschutzverletzungen gebe. Den Betreibern der betreffenden Testzentren droht nun wegen der DSGVO-Verst\u00f6\u00dfe ein Bu\u00dfgeld. Da werden wir k\u00fcnftig noch viel Spa\u00df haben – wie hie\u00df es bei einer Werbung einer bestimmten Partei doch mal \"Digitalisierung first, Bedenken second\" – und im Zusammenhang von COVID-19 lese ich auch hier im Blog gelegentlich die Meinung, dass der Datenschutz all die sch\u00f6ne COVID-19-Verfolgung behindere. Muss wohl auf die Betreiber der Testzentren abgef\u00e4rbt haben, die Dollarzeichen gesehen haben – und nun kommt das b\u00f6se Erwachen, oder die F\u00e4lle werden unter den Tisch gesp\u00fclt.<\/p>\n

Insights eines Betroffenen<\/h2>\n

Erg\u00e4nzung:<\/strong> Blog-Leser Constantin hat mich per Mail kontaktiert, weil er den Blog-Beitrag gelesen hatte und schrieb:<\/p>\n

Hier mal kurz meine Erfahrungen geschildert….<\/span><\/p>\n

Nat\u00fcrlich habe ich diesen Anbieter auch gerade erst am Dienstag verwendet, damit ich einen negativen Test f\u00fcr meinen Friseurbesuch\u00a0vorweisen kann. Ich hatte mich noch ge\u00e4rgert, das man dort zwingend Personalausweis und Krankenkassennummer angeben muss… Am Dienstag abend bekam ich dann eine Email das sich mein Abrufcode f\u00fcr mein Testergebnis ge\u00e4ndert hat…. Auf die Nachfrage warum das passiert ist, habe ich bisher keine Antwort vom Anbieter bekommen. Aber jetzt wei\u00df ich ja warum….<\/p>\n

Mittlerweile ist Personalausweis nur noch Optional und das Feld f\u00fcr die Krankenkassennummer gar nicht\u00a0mehr vorhanden. Hinter dem Anbieter steckt wohl die\u00a0Eventus Media International die sich seit Corona wohl mit Tests und Masken eine goldene\u00a0Nase verdient…<\/p><\/blockquote>\n

Das sind nat\u00fcrlich ganz \u00fcble Sachen, wenn Ausweisnummer und Krankenkassendaten abgefragt werden.Constantin hat jetzt eine Anfrage an den Anbieter gestell, welche Daten abhanden gekommen sind.<\/span><\/p>\n

Ich formuliere es mal etwas flapsig: Du gehst nichtsahnend zum Corona-Test in deiner Gemeinde, kommst nach Hause, und w\u00e4hrend Du auf die Mail mit dem Testergebnis wartest, beschlie\u00dft Du schnell noch den Rasen zu m\u00e4hen. Schon beugt sich der Nachbar \u00fcber den Zaun: \"H\u00f6ma, wo hast Du dir denn den Tripper, ups versprochen, meinte den Corona, gefangen? Deine Frau geht nicht nicht aus dem Haus und Du feierst doch h\u00f6chstens heimlich nachts mit deinen Kumpels im Party-Keller.\" Du kuckst verdutzt und der Nachbar grinst s\u00fcffisant: \"Habe ich schriftlich, Schwarz auf Wei\u00df\u00a0 – Du bist positiv. Sch\u00f6ne neue Welt, die Digitalisierung macht's m\u00f6glich.\"<\/p>\n

Erg\u00e4nzung 2:<\/strong> Constantin hat mir noch eine zweite Mail geschickt – er hatte beim Betreiber angefragt, warum er nicht informiert wurde. Er verwies auf diese FAQ des Corona-Test-Centrums zum Vorfall. Dort hei\u00dft es zum Thema Entsch\u00e4digung:<\/p>\n

Als Entsch\u00e4digung bieten wir allen Betroffenen an, einen kostenlosen Corona-Test in unseren Testzentren in Anspruch zu nehmen. Dar\u00fcber hinaus stellen wir Ihnen zus\u00e4tzlich zehn FFP2 Masken kostenfrei zur Verf\u00fcgung.<\/p><\/blockquote>\n

Wow, ich wollte schon Hurra schreien, da fiel mir ein \"waren die Corona-Tests nicht eh kostenlos?\" – ok, immerhin gibt es 10 FFP2-Masken. Doofe Sache f\u00fcr alle Betroffenen – wird aber nicht der letzte Vorfall sein – progressiv, wie wir nun mal sind, glauben wir der FDP und ihrem Spruch \"Digitalisierung first, Bedenken second\" – passt schon.<\/p>\n","protected":false},"excerpt":{"rendered":"

Passt schon: Wegen einer Sicherheitsl\u00fccke waren Tausende an pers\u00f6nlichen Daten und Testergebnisse von Personen einsehbar, die sich in in Hamburg, Berlin, Leipzig und Schwerte einem Coronatest unterzogen haben. Erg\u00e4nzung: Feedback eines Blog-Lesers und Betroffenen. Erg\u00e4nzung 2: Und die Leute k\u00f6nnen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-252035","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252035","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252035"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252035\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252035"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252035"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252035"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}