Sicherheitslücke bei Testzentren Mehr als 7.000 Corona-Testergebnisse ungeschützt im Internet gelandet

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Corona-Tests kann jeder kaufen und zu Hause selbst machen. Oder man geht in eine Arztpraxis oder ein Testzentrum. Dort sind die Tests kostenlos und dort wird meist digital gearbeitet: Die Getesteten können ihre Ergebnisse online abrufen. Doch mitunter landen die Ergebnisse ungeschützt im Internet. Nun ist wieder so ein Fehler bekannt geworden: Deutschlandweit waren mehr als 7.000 Testergebnisse abrufbar – die meisten davon aus zwei Testzentren in Leipzig.

Viele Menschen stehen in einer Schlage vor dem Corona-Testzentrum am Neuen Rathaus Leipzig
Das Testzentrum im Neuen Rathaus in Leipzig händigt Ergebnisse nur in Papierform aus und bietet somit mehr Datensicherheit als andere. Bildrechte: MDR/Christin Bohmann

Dienstag vor Ostern gegen 15 Uhr: Ein 29-jähriger Leipziger lässt sich im Corona-Testcenter in der Maximilianallee testen. Kurze Zeit später bekommt er eine E-Mail mit dem Link zu seinem Testergebnis. Es ist negativ. Doch die PDF-Datei mit dem Ergebnis konnten auch andere im Internet finden.

Entdeckt hat die Sicherheitslücke eine Gruppe von Experten, die sich für mehr IT-Sicherheit einsetzt und sich "zerforschung" nennt. Einer von ihnen ist der gebürtige Leipziger Karl: "Die Lücke war extrem einfach zu finden. Also wir haben das innerhalb von kürzester Zeit gefunden." Man brauche auch keine besonderen Tools oder Spezialkenntnisse, sondern nur ein gewisses Grundverständnis, meint er. "Also es ist für Kriminelle, wenn die es vor uns gefunden haben, ein gefundenes Fressen." Kriminelle hätten so an sehr gute Daten für Identitätsdiebstahl gelangen können.

Sicherheitslücke inzwischen wieder geschlossen

Die Experten von "zerforschung" konnten die Codes von mindestens 17.000 Registrierungen für einen Corona-Test auf der Webseite des Testcenter-Anbieters einsehen. Mit Hilfe der Codes war es möglich, Testergebnisse inklusive Name, Adresse, Telefonnummer, Geburtsdatum und E-Mail-Adresse abzurufen. Für mindestens 7.000 Menschen lagen bereits Testergebnisse vor.

In einer Stichprobe konnten Reporterinnen und Reporter von MDR, NDR und RBB Dutzende Testzertifikate herunterladen. Die meisten Testergebnisse stammen aus zwei Testzentren in Leipzig. Der Rest kommt aus Berlin, Hamburg, Schwerte und Dortmund. Dort sitzt auch der Webseiten-Betreiber der insgesamt neun Testzentren, Eventus Media International, vor allem eine Agentur im Bereich E-Commerce und Handel.

Die Firma hat die Sicherheitslücke am Dienstag nach Ostern laut eigener Angabe als Reaktion auf die Anfrage der Redaktionen innerhalb kurzer Zeit geschlossen. In einer E-Mail schreibt sie: "Wir werden es aber nicht dabei belassen, sondern unsere Systeme gemeinsam mit einer darauf spezialisierten Firma einem umfassenden Sicherheitscheck unterziehen, damit so etwas nicht noch einmal vorkommt." Außerdem würden die Betroffenen angeschrieben und man versuche herauszufinden, ob die Daten von Dritten missbraucht wurden.

Datenschutz bei Testzentren nicht höchste Priorität

Auch das Bundesamt für Sicherheit in der Informationstechnik weiß von der Lücke, nennt sie gravierend und bestätigt, dass sie geschlossen wurde. Es ist nicht der erste Vorfall, bei dem Corona-Testergebnisse leicht zugänglich waren. Im März hatten die IT-Sicherheitsaktivisten von "zerforschung" in einem anderen Fall eine Sicherheitslücke gefunden, bei der es mehr als 100.000 leicht abrufbare Testergebnissen gab. Auch in diesem Fall hat eine Privatfirma das Testzentrum betrieben.

BSI-Präsident Arne Schönbohm: "Wir haben eine digitale Infrastruktur im Gesundheitswesen, die sehr hohen Sicherheitsgraden genügt. Unsere Aufgabe ist es, für ein hohes Niveau an Informationssicherheit zu sorgen." Bei den Testzentren sei es so, dass dort dieses Niveau bisher nicht gesetzlich vorgeschrieben gewesen sei.

Das Gesundheitsamt Leipzig hat Eventus mit dem Betrieb des Testzentrums beauftragt. Dafür muss die Firma – wie jede Teststelle – dem Amt nur qualifiziertes Personal, Hygiene- und Testkonzepte nachweisen. Datensicherheit scheint keine Rolle zu spielen. Wer auf Nummer sicher gehen will, kann zum Beispiel ins Neue Rathaus gehen. Die Testergebnisse dort gibt es nämlich nur in Papierform.

Quelle: MDR AKTUELL

Dieses Thema im Programm: MDR AKTUELL | 09. April 2021 | 06:05 Uhr

22 Kommentare

hansfriederleistner vor 27 Wochen

Da sieht man wie unbedarft die Masse mit Daten umgeht.
Da werden Preisausschreiben durchgeführt. Es werden beim Einkauf Punkte gesammelt, um irgend einen Gegenstand zu erhalten. Da werden Käufer nach ihrer Postleitzahl gefragt, um statistisch das Einzugsgebiet auszuwerten. Und alle diese Daten landen per EDV in einem großen Topf. Das ist doch für die Leute, die wirtschaftliche und politische Ansichten unters Volk bringen wollen der große Wurf.

Hans1970 vor 27 Wochen

Zum Glück hat man den Fehler schnell gefunden und die Firma hat diese Lücke geschlossen. Hoffentlich 7000 Daten werden nicht missbraucht und die Leute werden dann informiert, um den Missbrauch zu vermeiden. Aber die Daten im Internet werden heuzutage doch immer geklaut, wenn die Hacker daran sind.

Sonnenseite vor 27 Wochen

"aber für Tausende AKTUELLER Adresssätze mit e-Mail, Telefonnumer und Geburtsdatum dürfte es wohl reichlich Interessenten geben..."

Das ist das Gold im digitalen Zeitalter! ☝️


Mehr aus Politik

Mehr aus Deutschland