Testergebnis für Robert Koch: Sicherheitslücke bei Schnelltest-Software
Neuer Wirbel um Schnelltestzentren: IT-Expert:innen haben eine Sicherheitslücke im Online-System gefunden, das viele Berliner Teststellen zur Ergebnismitteilung nutzen. Die Folge: öffentlich zugängliche Daten von hunderttausenden Getesteten und ein negatives Testergebnis für Robert Koch.
Schon im Sommer war die Aufregung um Corona-Schnellteststellen groß. Denn offenbar hatten einige Testzentren mehr Tests abgerechnet als durchgeführt wurden. Das Bundesgesundheitsministerium zog die Notbremse und kürzte unter anderem die Vergütung. Nun gibt es neuen Ärger. Das IT-Kollektiv zerforschung hat eine massive Sicherheitslücke im Online-System mein-schnelltest.com aufgedeckt. Dieses wird beispielsweise von vielen Berliner Teststellen genutzt, um Getestete über ihr Ergebnis zu informieren. Nutzer:innen loggen sich dort ein und können ihr Resultat einsehen. Aber das ist nicht alles.
Wie die IT-Expert:innen zeigen, ließen sich aufgrund einer Sicherheitslücke offenbar auch die persönlichen Daten von anderen getesteten Personen abrufen, die über das System registriert wurden. Dazu zählen neben Namen und E-Mail-Adressen auch die Anschrift sowie die Ausweisnummer. Betroffen seien mehrere Hunderttausend Personen, heißt es von zerforschung. Doch damit immer noch nicht genug: Offenbar gelang es den Expert:innen außerdem, sich nicht nur das eigene Testergebnis, sondern auch das von fremden Personen anzeigen zu lassen. Und sogar das selbstständige Anlegen von neuen Datensätzen und somit das Erstellen eigener Testzertifikate war über das System möglich. „Der Server sollte eigentlich prüfen, ob wir berechtigt sind, diese zu nutzen – also ob wir in einer Teststelle arbeiten und im System entsprechend freigeschaltet sind.“ Aber das war scheinbar nicht der Fall, eine Authentifizierung erfolgte nicht. So gelang es, ein negatives Testergebnis für den bereits verstorbenen Robert Koch zu erstellen. Dieser wäre heute 177 Jahre alt. „Da wir nicht wissen, welche Prozesse bei einem positiven Testergebnis automatisch ausgelöst werden, haben wir uns dagegen entschieden, auch ein positives Testergebnis zu generieren. Wir gehen allerdings davon aus, dass dies ebenfalls problemlos möglich gewesen wäre“, erklären die Expert:innen.
In ihren Augen ist das Ergebnis ihres Versuchs erschütternd. „Wer eine solche Software anbietet, muss dafür sorgen, dass diese läuft, ohne Daten zu verlieren – auch das ist ein wichtiger Teil des Datenschutzes. Wenn eine Software marktreif genug ist, um Kund:innen-Daten zu speichern, muss sie auch reif genug sein, diese Daten für sich zu behalten“, heißt es auf der Website. Sowohl der Hersteller als auch die zuständige Landesdatenschutzbeauftragte und das Computer-Notfallteam des Bundesamts für Sicherheit in der Informationstechnik wurden bereits über die Sicherheitslücke informiert. Eine Information an die davon betroffenen Bürger:innen gab es bisher laut zerforschung nicht, auch wenn die Mängel inzwischen laut Hersteller beseitigt worden seien.
Übrigens: Auch bei den digitalen Impfzertifikaten gab es bereits Pannen. So konnten zwei IT-Experten das DAV-Portal knacken und ebenfalls eigene Zertifikate erstellen.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Melatonin-Konzentration durch NEM bis zu 100-fach erhöht
Der Markt mit Melatonin-Präparaten boomt. Doch die Einnahme ist mit Gefahren verbunden. Denn anders als vielfach behauptet, sind Nahrungsergänzungsmittel (NEM) …
Strovac: Kein Nutzen bei wiederkehrenden Harnwegsinfekten?
Eine Blasenentzündung kommt selten allein. Genau sind viele Menschen mindestens einmal pro Jahr betroffen. Zur Behandlung und Vorbeugung wiederkehrender Harnwegsinfekte …
Antibiotika für Kinder: Besser nicht zu früh?
Dass Antibiotika mit Bedacht verordnet werden sollten – Stichwort Resistenzen –, ist bekannt. Das gilt besonders, wenn diese bei Kindern …
