Hannover: Sicherheitspanne bei Corona-Testzentrum Stand: 20.04.2021 18:00 Uhr Testergebnisse, Adressen und Namen von Kunden eines Corona-Testzentrums in Hannover hätten abgegriffen werden können. Belege für einen tatsächlichen Daten-Abfluss gibt es bislang nicht - doch der Fall zeigt ein grundsätzliches Problem.

von Marco Heuer & Eva Köhler

Die Webseite eines Corona-Testzentrums soll angreifbar gewesen sein. Eine Sicherheitslücke im System hatte es ermöglicht, Testzertifikate inklusive des Testergebnisses, Adressen und Namen der Getesteten abzurufen. Hinweise darauf hatte ein IT-Sicherheitsforscher aus Niedersachsen gefunden und die Informationen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie mit Reporterinnen und Reportern des NDR geteilt. Es ist die dritte öffentlich gewordene Meldung dieser Art innerhalb weniger Wochen.

Was war das Problem?

Auf der Webseite des Testzentrums "Schnelltestzentrum Hannover" ist es laut dem Sicherheitsexperten möglich gewesen, Testzertifikate Fremder einzusehen. Dafür sei nur ein Link zum eigenen Testergebnis notwendig gewesen. Durch eine leichte Veränderung dieses Links, berichtet der Informatiker, hätten Angreifer dann weitere Testzertifikate herunterladen können. Grund für die Sicherheitslücke sei unter anderem eine fortlaufende Identifikationsnummer gewesen. Mit Hilfe dieser Nummer hätten Angreifer alle weiteren notwendigen Variablen des Links technisch generieren können und so Testzertifikate inklusive des daraufstehenden Testergebnisses, der Adresse sowie des Namens der Getesteten, abgreifen können.

Das Unglück abgewendet?

Nachdem das BSI durch den Informatiker Johannes Eder von dem Datenleck erfahren hatte, informierten Mitarbeiter das betroffene Unternehmen.

Auf Anfrage des NDR schreibt das "Schnelltestzentrum Hannover": "Ja, wir müssen die Sicherheitslücke bestätigen. Das Tool, welches wir für unsere Patient*innen eingerichtet haben, damit sich diese selbstständig ihre Testergebnisse von der Webseite herunterladen können, ist betroffen." Mittlerweile sei diese Funktion, dieses "Plugin", deaktiviert und damit sei die Sicherheitslücke geschlossen. Weiter schreibt das Unternehmen auf Anfrage: "Wir haben den Sachverhalt durch drei IT-Agenturen prüfen lassen. Die Prüfung ergab, dass die Sicherheitslücke nicht ausgenutzt wurde. Es sind keine Daten von Patient*innen abgeflossen."

Das BSI bestätigte die Recherchen. Derzeit sei nicht bekannt, dass die Sicherheitslücken tatsächlich ausgenutzt wurden, so der Sprecher des BSI, Joachim Wagner. "Insofern besteht derzeit kein Risiko für die Kund*innen der Testzentren in Bezug auf ihre dort gespeicherten Daten."

Dritte Sicherheitspanne bei Corona-Testzentren

Es ist nicht die erste Sicherheitslücke dieser Art, die bei Corona-Testzentren auftritt. Bereits Mitte März berichtete der RBB über ein Testzentrum, bei dem Daten von rund 136.000 Getesteten ohne Zugangsbeschränkung im Netz abrufbar waren. Vor knapp zwei Wochen berichteten NDR, RBB und MDR über eine weitere Sicherheitslücke bei einem Testzentrumsbetreiber mit neun Standorten in ganz Deutschland. Der Sprecher der Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen erklärte damals, dass sie bereits bei weiteren drei Testzentren Hinweise auf ähnliche Datenpannen erhalten habe.

Unter Zeitdruck leidet die IT-Sicherheit

Die Fälle zeigen, dass offenbar ein grundsätzliches Datenschutz-Problem besteht. Vonseiten des BSI heißt es: "In der Corona-Krise ist es an vielen Stellen zu einem Digitalisierungsschub gekommen", so der Sprecher des Bundesamtes. Zahlreiche Web-Anwendungen und Datenverarbeitungssysteme würden binnen kurzer Frist benötigt und entwickelt:

"Dabei ist es unabhängig vom konkreten Fall offensichtlich so, dass immer wieder einfachste Sicherheitsmaßnahmen dem Zeitdruck zum Opfer fallen. Das ist aus Sicht des BSI inakzeptabel, insbesondere wenn es um persönliche oder gar medizinische Daten geht." Joachim Wagner, Sprecher des Bundesamts für Sicherheit in der Informationstechnik

Doch Bußgelder vergeben, wenn die Sicherheit von personenbezogene Daten nicht gewährleistet ist, kann das BSI selbst nicht. Dafür sind vor allem die jeweiligen Landesdatenschutzbeauftragten verantwortlich. Die Höhe der Strafen ist in der europäischen Datenschutzgrundverordnung (DSGVO) festgelegt. Demnach sind bei Verstößen gegen die DSGVO Bußgelder bis maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes möglich. Ob in diesem Fall oder in einem anderen Fall Bußgelder verhängt wurden oder werden, ist nicht bekannt.

Auch Johannes Eder, der IT-Sicherheitsexperte, der die Sicherheitslücke im Testzentrum in Hannover entdeckte, sieht ein systematisches Problem.

"Wir hatten so viele Fälle, gerade bei Corona-Testzentren. Wir müssen an der Herangehensweise etwas ändern. Wir müssen uns vorab Gedanken machen, wie wir mit unseren Gesundheitsdaten umgehen." Johannes Eder, IT-Sicherheitsexperte

Sein Tipp: IT-Sicherheitsberater sollten beim Entstehen oder spätestens, wenn die Webseiten fertig sind, die Sicherheit überprüfen. Fälle wie der in Hannover zeigten, wie einfach es Kriminellen teils gemacht würde: "Stellen Sie sich ein Fahrrad vor und ein sechsstelliges Schloss. Aber: Das Schloss liegt neben dem Fahrrad."

