# taz.de -- Schnelltestzentrum mit Datenleck: 136.000 Corona-Tests ungeschützt | |
> Zehntausende Corona-Testergebnisse standen zusammen mit Personendaten | |
> wochenlang ungeschützt im Netz. Der Chaos Computer Club hat das Leck | |
> aufgedeckt. | |
Bild: Die Betreiber von Berliner Gratis-Schnelltestzentren gingen recht sorglos… | |
BERLIN taz | Rund 136.000 Corona-schnelltestergebnisse von 80.000 | |
Personen aus Deutschland und Österreich waren wochenlang mitsamt | |
persönlichen Daten frei einsehbar auf dem Schnelltest-Portal | |
„Test-to-go.berlin“. Das Portal von der Betreiberin „21dx“ wird auch von | |
einem Testzentrum im Osten Berlins benutzt, wie die Gesundheitsverwaltung | |
von Dilek Kalayci (SPD) der taz mitteilte. Man habe vom Betreiber eine | |
externe Sicherheitsprüfung gefordert. Wie der [1][RBB] berichtet, waren die | |
Daten Tausender Berliner:innen gefährdet. Mittlerweile sei die Lücke | |
behoben. Betrieben wird die Website von der Wiener Firma Medicus AI, das | |
als Produkt unter der Namen „Safeplay“ eine „Rundum-Sorglos-Website“ zur | |
Verfügung stellt. | |
Sorglos war allerdings vor allem der Umgang der Firma mit IT-Sicherheit: | |
Jede Person, die sich auf der Website einen Account anlegte, konnte laut | |
den Hacker-Gruppen [2][Chaos Computer Club (CCC)] und [3][Zerforschung] | |
problemlos an sämtliche Daten anderer Getesteter gelangen. Jedem | |
Testergebnis war demzufolge eine aufsteigende Nummer zugeordnet. Änderte | |
man diese Zahl in der Browser-Adresszeile, konnte man sensible Daten | |
anderer Getesteter einsehen: Name, Adresse, Geburtsdatum, | |
Staatsbürgerschaft, Ausweisnummer sowie ein herunterladbares Testergebnis. | |
Mit simplen Änderungen im Profil ließen sich offenbar sogar negative oder | |
positive Testbefunde fälschen. Ebenso sei es mit ein bisschen Know-how | |
möglich gewesen, Anzahl, Ausgang und den sekundengenauen Zeitpunkt von | |
Tests auszulesen. Selbst Fotos von Teststreifen mit handschriftlichen Namen | |
drauf seien herunterladbar gewesen. | |
Die Website ist offenkundig nur schnell zusammen gestrickt worden, wie die | |
Hacker:innen [4][zufällig nach einem Corona-Schnelltest in Berlin | |
festgestellt haben]. Sie meldeten die schweren Sicherheitslücken umgehend | |
den zuständigen Behörden. | |
## Sicherheitslücke bestand seit Februar | |
Mittlerweile sollen die Lücken behoben worden sein, wie das für die Website | |
zuständige Unternehmen Medicus AI auf taz-Anfrage mitteilte. Die Lücke habe | |
nach einem „unglücklichen Bug“ seit dem 14. Februar bestanden. Die Firma | |
habe sechs Zugriffe feststellen können, die sie auf Hacker:innen | |
zurückführte, welche die Lücke entdeckten. Darüber hinaus habe es keine | |
unberechtigten Zugriffe gegeben, wie die Firma behauptet. Alle Betroffenen | |
seien informiert worden. | |
Die Hacker:innen vom CCC haben da Zweifel: Getestete Freund:innen, deren | |
Daten sie mit deren Einverständnis auf die beschriebene Weise einsahen, | |
seien bisher nicht informiert worden, wie es in der CCC-[5][Mitteilung vom | |
Donnerstag] heißt. „Die Schwachstellen waren offensichtlich und wir hoffen, | |
dass sie nicht von anderen schon längst ausgenutzt wurden“, sagte ein | |
Aktivist aus der Gruppe Zerforschung. | |
Linus Neumann vom CCC sagte: „Dies ist nicht die erste und sicherlich nicht | |
die letzte Sicherheitslücke in hastig gebastelter Corona-IT“. Schon im | |
vergangenen Jahr seien immer wieder eklatante Schwachstellen in | |
Corona-Systemen bekannt geworden – „wenn schon bei so einfachen Aufgaben | |
katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen | |
erstmal ihre Hausaufgaben machen“, kritisierte Neumann angesichts geplanter | |
digitaler Impfnachweise. | |
18 Mar 2021 | |
## LINKS | |
[1] https://www.rbb24.de/politik/thema/corona/beitraege/2021/03/berlin-datenlec… | |
[2] https://www.ccc.de/de/updates/2021/corona-testergebnisse | |
[3] https://zerforschung.org/posts/medicus/ | |
[4] https://zerforschung.org/ | |
[5] https://www.ccc.de/de/updates/2021/corona-testergebnisse | |
## AUTOREN | |
Gareth Joswig | |
## TAGS | |
Schwerpunkt Coronavirus | |
Schwerpunkt Coronavirus | |
Schwerpunkt Chaos Computer Club | |
Datenschutz | |
IT-Sicherheit | |
Dokumentarfilm | |
Schwerpunkt Coronavirus | |
Schwerpunkt Coronavirus | |
Schwerpunkt Coronavirus | |
Datenschutz | |
## ARTIKEL ZUM THEMA | |
Doku über den Chaos Computer Club: Komputer und Lederhose | |
Die Dokumentation „Alles ist eins. Außer der 0“ erzählt die Geschichte des | |
Chaos Computer Clubs. Er liefert starkes Bild- und Tonmaterial. | |
Dritte Pandemiewelle in Deutschland: AstraZeneca wird wieder verimpft | |
Wegen stark steigender Infektionszahlen wächst der Druck, Lockerungen | |
zurückzunehmen. Arztpraxen könnten früher eingebunden werden. | |
Datenschützer über digitalen Impfpass: „Kein Ticket ins normale Leben“ | |
Die EU-Kommission glaubt, durch den digitalen Impfpass einen Weg zurück in | |
die Normalität zu finden. Datenschutzexperte Thomas Lohninger widerspricht. | |
Coronapolitik der Bundesregierung: Made in Germany | |
Die Deutschen können gut organisieren? In der Coronakrise zeigt sich mal | |
wieder, dass das Klischee nicht stimmt. Eine Bilanz nach einem Jahr | |
Pandemie. | |
Die Gefahren des digitalen Impfpasses: Zutritt nur für Gesunde | |
Was passiert, wenn Gesundheit ausweispflichtig wird? Warum der digitale | |
Impfpass zu einer verstärkten Biologisierung der Gesellschaft führen | |
könnte. |