Sicherheitslücke in Testzentren

Bei einer Software für Corona-Testzentren hat es offenbar eine größere Sicherheitslücke gegeben. Mindestens 136.000 Covid-19-Testergebnisse standen ungeschützt im Netz, berichten „Süddeutsche Zeitung“, der RBB und der Wiener „Standard“ unter Berufung auf eine Analyse von Zerforschung – einem Kollektiv von IT-Experten – und Chaos Computer Club (CCC).

Zusammen mit den Ergebnissen der Schnelltests waren demnach jeweils eindeutig identifizierende Daten wie Name, Adresse, Staatsbürgerschaft, Mobilfunknummer, Geschlecht, E-Mail-Adresse und in einigen Fällen die Ausweisnummer im Internet zu finden.

Unbefugte hätten die Daten als PDF herunterladen können. Dazu mussten sie sich nur ein Konto bei einem Testzentrum erstellen und ihren Internet-Browser trickreich nutzen. Über eine zweite Sicherheitslücke waren Statistiken über die aktuellen Zahlen der positiven und negativen Ergebnisse in den Zentren einsehbar, sowie mit etwas Aufwand Fotos der QR-Codes, die Getestete erhalten, samt Testergebnis.

Beide Sicherheitslücken wurden dem Bericht zufolge in der vergangenen Woche geschlossen. Die Sicherheitslücken klafften in der Software eines österreichischen Unternehmens.

Viele Testzentren setzen das Programm ein, um Termine zu vergeben und Getesteten digital ihre Ergebnisse zugänglich zu machen. Betroffen sind vor allem Testzentren, die ein Münchner Unternehmen betreibt. Darunter sind Zerforschung und CCC zufolge Einrichtungen in München, Berlin, Mannheim und im österreichischen Klagenfurt.

Nach der Entdeckung der Lücken alarmierten Zerforschung und CCC das Bundesamt für Sicherheit in der Informationstechnik (BSI), das wiederum den Betreiber informierte. Das Unternehmen teilte der SZ mit, die Sicherheitslücke sei „durch einen Fehler in einem Update der Software von Mitte Februar“ entstanden. Das BSI erklärte, ihm lägen „derzeit keine Anhaltspunkte dafür vor, dass die Schwachstelle missbräuchlich ausgenutzt worden ist“. (dts)