IT-Sicherheitslücke ermöglicht Zugriff auf Corona-Testergebnisse

News

Bei der Programmierung einer Online-Plattform für Corona-Testzentren wurden zentrale Grundsätze der IT-Sicherheit außer Acht gelassen. Damit war es Nutzern der Plattform möglich, Testergebnisse und weitere sensible personenbezogene Daten von Besuchern dieser Testzentren einzusehen. Der Dauerbrenner „Datenschutz in Zeiten von Corona“ ist um ein Kapitel reicher.

Spielerisch leichter Zugriff

Was war passiert? Das Wiener Startup medicus.ai hatte verschiedenen Corona-Testzentren in Deutschland und Österreich eine „Rundum-Sorglos-Website“ zur Verfügung gestellt. Über diese Plattform sollten Interessenten u.a. Termine buchen und Corona-Testzertifikate abrufen können. Die Software hinter der Plattform hört auf den schönen Namen „Safeplay“.

Dabei lag die Betonung der Entwickler aber offenbar mehr auf Play, denn auf Safe. Denn spielerisch leicht konnten Hacker aus dem Umfeld des Chaos Computer Club (CCC) auf hochsensible Daten dieser Plattform zugreifen: Wer sich als Nutzer auf dem Portal angemeldet hatte, konnte dort sein persönliches Testergebnis einsehen. Die URL der hierfür aufzurufenden Seite mit dem eigenen Testergebnis enthielt nun aber leider eine offenbar fortlaufende Nummerierung. Wenn man diese Nummer in der URL der – berechtigterweise – aufgerufenen Seite einfach nach oben oder unten abänderte, bekam man die Testergebnisse anderer Besucher der beteiligten Testzentren angezeigt, einschließlich Name, Adresse, Geburtsdatum, Staatsbürgerschaft und Ausweisnummer.

Hohe Zahl potentiell Betroffener

Laut CCC soll die Zahl der so quasi offen zugänglichen Testergebnisse bei über 136.000 gelegen haben, bei mehr als 80.000 betroffenen Personen aus über 100 Testzentren und mobilen Test-Teams. Darunter seien sowohl öffentliche Einrichtungen in München, Berlin und Kärnten, als auch Teststationen in Unternehmen, Schulen und Kitas.

Nach einem heute veröffentlichten Statement von medicus.ai sei die Sicherheitslücke durch „ein Update in die Software gelangt“. Im relevanten Zeitraum bis zur Benachrichtigung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe es tatsächlich lediglich Zugriffe auf Datensätze von 6 Nutzern gegeben. Nach früheren Angaben des Unternehmens habe zudem keine Gefahr eines massenhaften Abflusses von Daten bestanden. Inwiefern dies zutrifft, werden final die zuständigen Aufsichtsbehörden festzustellen haben.

Besonders sensible Daten

Fest steht, dass es sich bei den exponierten Daten um besonders sensible Daten handelt. Das gilt zum einen für Daten wie etwa die Personalausweisnummer, aber vor allem für Daten, die den Gesundheitszustand der jeweiligen Person betreffen, und die bereits nach Art. 9 DSGVO einem besonderen Schutz unterliegen. Bei einer unberechtigten Offenlegung solcher Daten wie im vorliegenden Fall handelt es sich daher auch um einen meldepflichtigen Datenschutzvorfall. Ob darüber hinaus auch eine Pflicht zur Benachrichtigung aller betroffenen Kunden der Testzentren besteht, wird ebenfalls zu prüfen sein. Einzelne Benachrichtigungen dieser Art durch die Testzentren hat es jedenfalls bereits gegeben.

Erschreckende Naivität in puncto IT-Sicherheit

Die Nutzung fortlaufender Nummern bei den verwendeten URLs – anstelle von zufällig generierten, komplexen Unique User IDs (UUIDs) – offenbart einmal mehr einen gravierenden Mangel bei der Umsetzung wesentlicher Grundprinzipien der IT-Sicherheit auch in Ländern wie Deutschland und Österreich. Dabei scheint diese, nennen wir sie freundlich, „Naivität“ leider nicht nur in unserer Gesellschaft im Allgemeinen verbreitet zu sein. Sie schlägt sich offenbar ebenso in der Wirtschaft, gerne unter Startups, nieder. Auch Privacy by Design ist allzu oft noch in doppelter Hinsicht ein Fremdwort.

Kein Einzelfall

Die causa Safeplay erinnert leider an ähnlich krude Fälle aus den vergangenen Jahren: So waren beim Tischreservierungsdienst Foratable des Zürcher Startups Lunchgate ebenfalls Nutzer-ID´s einfach „aufaddiert“ worden. Dadurch konnte jeder Nutzer durch Eingabe anderer ID´s die über die Plattform hinterlegten Informationen anderer Nutzer ausspähen. Und beim Bremer Unternehmen Gastronovi waren wegen einer offenbar schlecht geschützten Cloud mehr als 87.000 Datensätze von Besuchern in 180 Restaurants einsehbar. Diese umfassten auch viel zu lange zurückliegende Reservierungsdaten und Privatadressen von Prominenten. Hier wie dort handelten die Unternehmen getreu dem Zuckerbergschen Motto „Move fast and break things“. Zerstört wurde dabei vor allem eines: das Vertrauen der Bevölkerung in den Schutz seiner Daten.

Datenschutzrechtliches Leuchten am Ende des Tunnels

Aber wenn man den aktuellen Safeplay-Vorfall einmal außen vor lässt, kann man auch feststellen: Zumindest beim Thema „Datenschutz und Corona“ haben sich zuletzt die guten Meldungen gehäuft:

So hatte in den letzten Wochen die auf dem Einsatz wechselnder QR-Codes basierende Kontaktverfolgungs-App „Luca“ für überwiegend positives Aufsehen gesorgt. Mehrere Bundesländer haben die Nutzung von Luca avisiert, eine Anbindung der Gesundheitsämter Mecklenburg-Vorpommerns ist bereits erfolgt. Zwar wird, wie es sich gehört, weiter kontrovers über den richtigen Weg bei der Corona-Kontaktverfolgung gestritten. Und mit Spannung dürfen die von einer Taskforce der Datenschutzbehörden aus Berlin, Hamburg, Rheinland-Pfalz und Mecklenburg-Vorpommern zu erstellenden „allgemeinen Grundsätze“ für den Einsatz solcher Kontaktverfolgung-Apps erwartet werden. Was den aktuellen Stand bei Luca betrifft, wurde jedenfalls mittlerweile auch die Offenlegung des Quellcodes der App angekündigt. Damit wäre eine weitere wesentliche Forderung von Datenschützern erfüllt.

Parallel kündigte nun auch SAP, Co-Entwickler der Corona-Warn-App (CWA), eine neue Funktion für die CWA an: Auch in diesem Fall sollen über ein Check-in-System auf Basis von QR-Codes die Möglichkeiten der Kontaktverfolgung wesentlich verbessert werden. Da die CWA keine persönliche Registrierung des Nutzers erfordert, ist sie aus datenschutzrechtlicher Hinsicht noch sicherer als die Luca-App.

Kein Datenschutz ist auch keine Lösung

Der Datenschutzvorfall bei medicus.ai zeigt einmal mehr: Datenschutz ist angesichts der Corona-Pandemie nicht nur dann ein Problem, wenn er zu sehr in den Vordergrund gerückt wird. Er wird vor allem dann zur Gefahr, wenn er in Vergessenheit gerät. Das richtige Maß zu finden, ist dabei in der Tat eine Aufgabe, um die die handelnden Personen nicht zu beneiden sind.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

Ein Kommentar zu diesem Beitrag

  1. Ich finde die Entwickler von SafePlay haben alles richtig gemacht. Es gab und gibt nicht wenige Politiker, Nachrichtensprecher und Moderatoren die sich öffentlich über zu viel Datenschutz in der „Corona Pandemie“ ausgesprochen haben. Also warum aufregen?? Weiter so! – ich freue mich schon auf den digitalen Impf(s)pass.

    *Ironie Off*

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.