Knapp 20.000 Personen betroffen: Erneut Sicherheitslücken bei Berliner Testanbietern aufgedeckt

Wer sich ein Wattestäbchen in die Nase schieben auf Corona testen lässt, tut das, um die Sicherheit zu bekommen, dass er oder sie für die Mitmenschen nicht ansteckend ist. Umso wichtiger, dass die Tests auch für die Getesteten selbst sicher sind – und für ihre Daten.

Nachdem in den vergangenen Monaten bereits mehrmals Sicherheitslücken bei Teststellenbetreibern bekannt geworden sind, hat das Hacking-Kollektiv "Zerforschung" nun ein neues Datenleck aufgespürt. Betroffen sind allein in Berlin bis zu 45 000 Testergebnisse von knapp 20 000 Personen. Bei den Anbietern handelt es sich um corona-gurgeln.de, testcenter.berlin und rapidtestberlin.de, wobei corona-gurgeln.de auch eine Teststelle in München unterhält, sodass ein Teil der 17 500 betroffenen Testergebnisse dieses Betreibers auch auf München entfallen dürfte. Auch ein Betreiber in Ravensburg ist betroffen mit weiteren rund 37 500 Testergebnissen.

Sicherheitslücke Terminbuchungsplattform

Wer basale Programmierfähigkeiten besaß, konnte bis Mitte Mai über diese Sicherheitslücken sensible Daten über die Getesteten online abrufen: neben dem Testergebnis auch Name, Geschlecht, E-Mai-Adresse, Telefonnummer und Adresse, Geburtsdatum und den Zeitpunkt der Probenentnahme. Einfallstore gab es gleich zwei in der Software.

Erstens wurden die Getesteten per SMS über ihr Ergebnis informiert. Darin befand sich eine Webadresse, die zuvor mit einem Shortener gekürzt worden war und und zu einem Dokument mit dem Testergebnis führte. Da in den Kurzlinks nur sechs Stellen neu kombinierbar waren, ließen sich relativ einfach Adressen für tatsächlich existierende Dokumente erraten, über bloßes Durchprobieren.

[Lesen Sie mehr aus Berlins Bezirken: Die 12 Tagesspiegel-Newsletter mit 250.000 Abos gibt es Bezirk für Bezirk hier: leute.tagesspiegel.de]

Die zweite Sicherheitslücke war die Terminbuchungsplattform: Aus dem Quellcode der Seite ließ sich ein sogenannter API-Schlüssel herauslesen, der Zugriff auf alle Mails ermöglichte, die von der Plattform gesendet worden waren. Auch so waren die sensiblen Gesundheitsdaten erreichbar und ließen sich sogar nach positiven Testergebnissen filtern. Mitte Mai informierte Zerforschung die Berliner Datenschutzbeauftragte. Etwas später ließen sich die Daten nicht mehr abrufen. Die Betroffenen allerdings wurden von keinem der Unternehmen informiert. Einhellig behaupten die Betreiber, dass niemand außer Zerforschung die Daten abgerufen hätte und daher keine Notwendigkeit bestünde, die betroffenen Personen zu informieren. Rapidtestberlin.de revidiert dies später dahin gehend, man habe an den IT-Dienstleister „die Info bereits weitergegeben, alle betroffenen Testkunden zu informieren.“ Corona-gurgeln.de hingegen ist überzeugt: „Das bloße Vorliegen eines möglichen Sicherheitsrisikos verpflichtet nicht zur Information“.

Das sieht die Datenschutzbeauftragte anders. Sie zieht auch in Zweifel, dass ein Datenabfluss vom IT-Dienstleister überhaupt bemerkt worden wäre, „da bereits die Aufrufe zur Beweissicherung in größerem Umfang stattfanden und nicht erkannt bzw. genannt wurden.“ Man rate den Betreibern dringend, alle Betroffenen zu informieren: „Eine Verpflichtung hierzu existiert in jedem Fall für die Gruppe der positiv getesteten Personen.“

Verschwiegenheit bei IT-Dienstleistern

Immerhin: rapidtestberlin.de gibt an, man habe den Testbetrieb mit der Software eingestellt und sei zu einem anderen Buchungssystem gewechselt. Ähnliche Konsequenzen haben die anderen Anbieter nicht gezogen. Ihnen scheint auszureichen, dass der IT-Dienstleister nachgebessert und die Lücken geflickt hat.

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Wer allerdings ist der IT-Dienstleister, der den Testzentren die lückenbehaftete Software zur Verfügung gestellt hat? Auf Nachfrage antwortet Corona-gurgeln.de dazu nur knapp: „Leider enthält der Vertrag mit dem IT-Dienstleister eine Verschwiegenheitsklausel, daher kann ich Ihnen diesbezüglich leider keine Antwort geben.“

Nach Tagesspiegel-Recherchen ist der IT-Dienstleister von mindestens einem Teil der betroffenen Firmen eine in Charlottenburg ansässige Deckert Vertriebs GmbH. Auf eine Anfrage antwortet die Geschäftsführung prompt – von der Mailadresse des Betreibers von corona-gurgeln.de. Keine Überraschung also, dass zumindest corona-gurgeln.de nach dem Datenleck nicht den Dienstleister gewechselt hat.

In der Mail wird behauptet, „dass die früheren Sicherheitsmaßnahmen bereits so hoch waren, dass ohne eine nennenswerte IT-Kompetenz kein unberechtigter Abruf von personenbezogenen Daten möglich gewesen sein dürfte.“ Man habe die „benannten möglichen Schwachstellen dennoch selbstverständlich umgehend geschlossen und die Sicherheitslevels nochmals deutlich erhöht.“ Stattdessen prüfe man nun eine Anzeige gegen Zerforschung, „da diese nachweislich und sich selbst damit ins Licht der Öffentlichkeit rückend unberechtigt personenbezogene Daten abgerufen und nennenswerte Sicherheitshürden überwunden haben.“ In der Kommunikation mit den eigenen Anwälten hat corona-gurgeln.de dann vielleicht ein höheres Bedürfnis nach IT-Sicherheit.