Testergebnis für Robert Koch: Sicherheitslücke bei Schnelltest-Software
Neuer Wirbel um Schnelltestzentren: IT-Expert:innen haben eine Sicherheitslücke im Online-System gefunden, das viele Berliner Teststellen zur Ergebnismitteilung nutzen. Die Folge: öffentlich zugängliche Daten von hunderttausenden Getesteten und ein negatives Testergebnis für Robert Koch.
Schon im Sommer war die Aufregung um Corona-Schnellteststellen groß. Denn offenbar hatten einige Testzentren mehr Tests abgerechnet als durchgeführt wurden. Das Bundesgesundheitsministerium zog die Notbremse und kürzte unter anderem die Vergütung. Nun gibt es neuen Ärger. Das IT-Kollektiv zerforschung hat eine massive Sicherheitslücke im Online-System mein-schnelltest.com aufgedeckt. Dieses wird beispielsweise von vielen Berliner Teststellen genutzt, um Getestete über ihr Ergebnis zu informieren. Nutzer:innen loggen sich dort ein und können ihr Resultat einsehen. Aber das ist nicht alles.
Wie die IT-Expert:innen zeigen, ließen sich aufgrund einer Sicherheitslücke offenbar auch die persönlichen Daten von anderen getesteten Personen abrufen, die über das System registriert wurden. Dazu zählen neben Namen und E-Mail-Adressen auch die Anschrift sowie die Ausweisnummer. Betroffen seien mehrere Hunderttausend Personen, heißt es von zerforschung. Doch damit immer noch nicht genug: Offenbar gelang es den Expert:innen außerdem, sich nicht nur das eigene Testergebnis, sondern auch das von fremden Personen anzeigen zu lassen. Und sogar das selbstständige Anlegen von neuen Datensätzen und somit das Erstellen eigener Testzertifikate war über das System möglich. „Der Server sollte eigentlich prüfen, ob wir berechtigt sind, diese zu nutzen – also ob wir in einer Teststelle arbeiten und im System entsprechend freigeschaltet sind.“ Aber das war scheinbar nicht der Fall, eine Authentifizierung erfolgte nicht. So gelang es, ein negatives Testergebnis für den bereits verstorbenen Robert Koch zu erstellen. Dieser wäre heute 177 Jahre alt. „Da wir nicht wissen, welche Prozesse bei einem positiven Testergebnis automatisch ausgelöst werden, haben wir uns dagegen entschieden, auch ein positives Testergebnis zu generieren. Wir gehen allerdings davon aus, dass dies ebenfalls problemlos möglich gewesen wäre“, erklären die Expert:innen.
In ihren Augen ist das Ergebnis ihres Versuchs erschütternd. „Wer eine solche Software anbietet, muss dafür sorgen, dass diese läuft, ohne Daten zu verlieren – auch das ist ein wichtiger Teil des Datenschutzes. Wenn eine Software marktreif genug ist, um Kund:innen-Daten zu speichern, muss sie auch reif genug sein, diese Daten für sich zu behalten“, heißt es auf der Website. Sowohl der Hersteller als auch die zuständige Landesdatenschutzbeauftragte und das Computer-Notfallteam des Bundesamts für Sicherheit in der Informationstechnik wurden bereits über die Sicherheitslücke informiert. Eine Information an die davon betroffenen Bürger:innen gab es bisher laut zerforschung nicht, auch wenn die Mängel inzwischen laut Hersteller beseitigt worden seien.
Übrigens: Auch bei den digitalen Impfzertifikaten gab es bereits Pannen. So konnten zwei IT-Experten das DAV-Portal knacken und ebenfalls eigene Zertifikate erstellen.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Erhöhtes Sterberisiko bei Mangel an Vitamin D
Besser zu wenig, als zu viel? Über Vitamin D beziehungsweise die Supplementierung des Sonnenvitamins wird immer wieder diskutiert. Doch nicht …
Bakterielle Vaginose: Partnerbehandlung entscheidend
Schätzungsweise jede dritte Frau ist von einer bakteriellen Vaginose betroffen – oftmals wiederkehrend. Um dies zu verhindern, kommt eine Partnerbehandlung …
Beeren und Co.: Warnung vor Hepatitis-A-Viren in Lebensmitteln
Achtung: Aktuell wird vor Hepatitis-A-Viren (HAV) in Lebensmitteln gewarnt. Besonders häufig betroffen sind dabei Beeren aus dem Tiefkühlfach. Wie es …
