zum Hauptinhalt
Bei Eventus Media International (EMI) konnten Unbefugte auf sensible Daten von 14.000 Menschen zugreifen.

© Shutterstock / Titima Ongkantong

Testergebnisse von 14.000 Menschen zugänglich: Datenleck bei Schnelltest-Anbieter – auch Berliner betroffen

Das Kollektiv „Zerforschung“ hat ein Sicherheitslücke bei Eventus Media International (EMI) entdeckt. Unbefugte konnten auf sensible Daten zugreifen.

Bei dem Anbieter für Corona-Schnelltests Eventus Media International (EMI) wurde ein Datenleck entdeckt. Durch eine Sicherheitslücke konnten Unbefugte auf Testergebnisse und andere sensible Daten zugreifen. Die Datenpanne wurde durch das Kollektiv „Zerforschung“ öffentlich gemacht. Zuerst hatten der RBB, der MDR und der NDR darüber berichtet.

Nach Angaben des Kollektivs waren 14.000 Registrierungen mit Ergebnissen zugänglich. Betroffen waren Kunden aus Hamburg, Berlin, Leipzig, Dortmund und Schwerte. Auch auf sensible Daten wie die Adressen der Betroffenen konnte zugegriffen werden.

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sei die Sicherheitslücke am Osterwochenende gemeldet worden. Eine Stichprobe am vergangenen Dienstag habe ergeben, dass die Sicherheitslücke geschlossen worden sei, sagte der Sprecher des BSI, Joachim Wagner, am Freitag.

Nach Angaben des BSI sei noch ungeklärt, ob neben den Journalisten und den Forschern der Organisation „Zerforschung“ weitere Parteien auf die Daten zugegriffen hätten. „Zerforschung“ besteht aus Expert:innen, die sich mit dem Thema IT-Sicherheit beschäftigen und regelmäßig Schwachstellen offenlegen.

Die Firma entschuldigte sich für den Fehler und kündigte an, in den nächsten Tagen die betroffenen Kunden einzeln anzuschreiben und sie über den Vorfall zu informieren. Statt eine eigene Website aufzusetzen habe der Anbieter Eventus Media International (EMI) mit der Software des Open-Source-Blog-Systems Word Press gearbeitet. Word Press wiederum benutzt eine Schnittstelle, über die Daten von anderen Systemen ausgelesen werden können – etwa, um sie für die App von Word Press nutzbar zu machen.

[Wenn Sie alle aktuellen Entwicklungen zur Coronavirus-Pandemie live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Auf diesem Weg ist es „Zerforschung“ wegen sehr laxer Zugriffsbeschränkungen gelungen, Registrierungsdaten von 14.000 Menschen abzufragen, etwa 3000 davon aus Berlin. Betroffen von der Schwachstelle waren unter anderem Namen, Adressdaten, Telefonnummern, Geburtsdaten und Testergebnisse.

Gegenüber dem Tagesspiegel erklärte die Pressesprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, die Datenpanne sei der Beauftragten noch nicht gemeldet wurden. Daher könne man noch keine Bewertung des Sachverhalts vornehmen.

Nordrhein-Westfalen erklärt sich vorerst für zuständig

Bisher ist noch unklar, welche Datenschutzaufsichtsbehörde für den Fall zuständig ist. Die EMI hat ihren Sitz in Dortmund. Es ist jedoch auch denkbar, dass lokale Franchiseunternehmer aus Berlin für die Verarbeitung der Daten im Sinne der Datenschutzgrundverordnung verantwortlich waren.

Ein Sprecher der nordrhein-westfälischen Landesaufsichtsbehörde teilte auf Anfrage des Tagesspiegel mit, dass seine Behörde sich vorerst in der Verantwortung sehe. EMI habe auch schon eine Meldung über die Datenpanne gemacht, in der auch die Vorfälle in Berlin und Leipzig enthalten waren.

Im März war bereits bei der Firma 21DX und ihrem Dienstleister Medicus Ai eine Sicherheitslücke entdeckt worden. Dabei konnten die Daten von rund 130.000 Betroffenen abgerufen. (mit dpa/afp)

Zur Startseite