Datenschutz Sicherheitslücke: Tausende Corona-Testergebnisse von Buga-Besuchern frei im Netz

Namen, Termine und Ergebnisse - mit wenigen Klicks war es offenbar möglich, nicht nur eigene, sondern auch fremde Angaben von bis zu 3.000 Menschen einzusehen, die in den vergangenen Wochen einen Coronatest in der Messe Erfurt gemacht haben. Mittlerweile ist das Leck geschlossen.

Durch eine Sicherheitslücke sind die Corona-Testergebnisse Tausender Buga-Besucher offenbar frei im Internet zugänglich gewesen. Das berichten die Computer-Vereine "Technikkultur Erfurt" und "Hackspace Jena". Demnach bekamen die Probanden im Testcenter auf der Messe bis Anfang Mai fortlaufende Buchungsnummern. Damit war es mit wenigen Klicks offenbar möglich, nicht nur eigene, sondern auch fremde Angaben von bis zu 3.000 Menschen einzusehen, so Namen, Termine und Ergebnisse.

Versuche, Fehler zu melden, laufen ins Leere

Für die Computer-Experten sei beim ersten Blick klar gewesen, dass es "um die IT-Sicherheit nicht gut bestellt war", so ein Vereinsmitglied. Versuche, die Schwachstelle an die Webseiten-Betreiber und andere zuständige Stellen zu melden, führten laut Verein "ins Leere". Der Betreiber des Testzentrums sagte auf Anfrage von MDR THÜRINGEN, der Hinweis auf das Datenleck verdanke die Firma den Thüringer Computer-Experten. Interne forensische IT-Gutachten hätten dies bestätigt. Das Leck sei geschlossen, ein ausführlicher Bericht mit Stellungnahme und Gutachten auf dem Weg zu den zuständigen Datenschutzbehörden in Westdeutschland.

Daten waren nur von Experten abrufbar

Daten seien zwar mit IT-Kenntnissen abrufbar gewesen, es habe aber "kein Datenabfluss an Dritte" stattgefunden. Ausnahme seien die zuständigen Behörden und die beiden Computer-Vereine aus Thüringen. Thüringens oberster Datenschützer Lutz Hasse rief die anderen Thüringer Testzentren auf, die verwendete Software zu prüfen und sich bei Fragen an ihn und seine Behörde zu wenden. Die Juristen und IT-Experten des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) könnten eingebunden werden, bevor es solche Probleme gibt. Beim Umgang mit empfindlichen Gesundheitsdaten sei es wichtig, vorher eine Testphase zu starten und Geld in einen System-Check zu investieren oder einen Test-Angriff auf künstliche Daten zu fahren.

Ein Mann in einem gläsernen Gebäude
Thüringens oberster Datenschützer Lutz Hasse. Bildrechte: MEDIEN360G

Betreiber nutzen Ticketsysteme für Registrierung

Die Betreiber des Testzentrums und Datenschützer Hasse erklärten, es gebe noch keine spezielle Software für Bürger- und PCR-Tests. Viele Betreiber würden daher Ticketsysteme der Event-Branche zur Registrierung und Zuordnung nutzen. Das System in Erfurt solle nun fortlaufend geprüft werden. Für Datenschützer Hasse ist nach eigenen Angaben im Moment noch fraglich, wer datenschutzrechtlich verantwortlich ist. Es gebe mehrere Beteiligte, wie die Software-Firma aus Baden-Württemberg, den Betreiber des Test-Zentrums aus Nordrhein-Westfalen und theoretisch, wenn auch eher unwahrscheinlich, die Bundesgartenschau. Durch Einschalten der Datenschutzbehörden seien die Daten nun nicht mehr einsehbar. Inzwischen werden für die Tests zufällige Buchungsnummern vergeben.

Quelle: MDR THÜRINGEN/jml

Dieses Thema im Programm: MDR THÜRINGEN - Das Radio | Nachrichten | 18. Mai 2021 | 13:00 Uhr

Mehr aus der Region Erfurt - Arnstadt

Mehr aus Thüringen

Menschenmenge umringt neu gepflanzeten Baum. 1 min
Bildrechte: MDR THÜRINGEN

Alleen werden immer seltener. In Thüringen stehen sie seit 2019 unter Naturschutz. In Arnstadt wurde am Samstag ein neuer Allee-Baum gepflanzt - symbolisch und unter Beteiligung von Politikern und Naturschützern.

12.06.2021 | 14:26 Uhr

MDR THÜRINGEN Sa 12.06.2021 19:00Uhr 00:41 min

https://www.mdr.de/nachrichten/thueringen/mitte-thueringen/arnstadt-ilmkreis/video-alleen-pflanzaktion100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Video