Datenpanne im Schnelltestzentrum

Das Unternehmen 21DX betreibt als einer der größten Anbieter Corona-Schnellteststationen in Berlin. Nun wurde eine schwerwiegende Datenpanne der genutzten Software bekannt, durch die zeitweise sensible Daten von tausenden Getesteten im Internet abrufbar waren.

Schnelltests helfen dabei Infektionsketten unterbrechen zu können und eine mögliche Covid-19-Infektion frühzeitig zu erkennen. Auch in Berlin wurden hierfür Schnellteststationen geöffnet. Doch nun steht einer der größten Testanbieter 21DX in der Kritik – nicht wegen der Schnelltests, sondern wegen einer großen Datenpanne. Zeitweise waren sensible Daten der Getesteten kaum gesichert im Internet einsehbar, darunter Namen, Adressen und Testergebnisse.

Umfang der Datenpanne in Schnelltestzentrum

Aus dem Bericht der IT-Sicherheitsforscher des IT-Kollektivs „Zerforschung“ und des Chaos Computer Clubs (CCC), der auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgelegt wurde, geht hervor, dass der Zugriff auf die Daten zeitweise auch ohne großes IT-Fachwissen einfach möglich war. Durch eine Veränderung der URL konnte man eine Art Attest für jede getestete Person auslesen. Dieses umfasste die folgenden Daten:

• Vollständiger Name
• Geschlecht
• Vollständige Adresse
• Geburtsdatum
• Staatsbürgerschaft
• Handynummer
• E-Mail-Adresse
• Datum und Uhrzeit der Testprobe
• Probentyp
• Befund
• teilweise die Ausweis- und/oder Reisepassnummer

Das Datenleck wurde von 21DX und dem österreichischen Unternehmen Medicus AI, das die Software zur Verfügung stellt, bereits bestätigt. Die Software safeplay wird jedoch nicht nur in Berlin verwendet. Neben öffentlichen Einrichtungen in Berlin, München und dem österreichischen Kärnten wird die Software auch in festen und temporären Teststationen in Unternehmen, Schulen und Kitas genutzt. Die Größe der Panne, das heißt von wie vielen Personen die Daten in welchen Umfang abrufbar waren, konnte noch nicht genau bestimmt werden. Hierzu gaben die IT-Sicherheitsforscher und das Software-Unternehmen unterschiedliche Einschätzungen ab. Eindeutig ist wohl jedoch, dass jedes der 136.000 Testergebnisse mit den dazugehörigen Daten einzeln nacheinander hätten eingesehen werden können.

Darüber hinaus wurden nach der Analyse der IT-Sicherheitsforscher zwei weitere Sicherheitslücken definiert. So war es möglich, die einem Test zugeordneten Daten nachträglich zu verändern und damit beispielsweise dem Testergebnis einen anderen Namen oder einer veränderten Passnummer zuzuordnen. Zudem waren von den Servern der Medicus-AI sekundengenaue Fotos der in diesem Zeitpunkt erfassten Testergebnisse mit entsprechenden Namen der Getesteten abrufbar.

Bewertung der Datenpanne im Schnelltestzentrum

Medicus-AI verwies in einer Stellungnahme darauf, dass die Sicherheitslücken umgehend behoben werden konnten. Eine Einsicht der Daten war demnach grundsätzlich vor der Behebung möglich, es sei glücklicherweise zu keinem unerlaubten Zugriff auf die Daten gekommen. Dies widerspricht dem Bericht der IT-Sicherheitsforschern von „Zerforschung“ und dem Chaos Computer Club sowie Informationen, die der Süddeutschen Zeitung, dem österreichischen Standard sowie rbb|24 vorliegen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte die Stellungnahmen von 21DX und Medicus-AI und betonte, im engen Austausch mit den betreffenden Unternehmen zu stehen.

Insbesondere in Berlin ist 21DX umfassend an der Infrastruktur der Testzentren beteiligt und programmierte im Auftrag des Senats die Webseiten  test-to-go.berlin und testen-lernen.berlin, über die es Büger:innen möglich ist, sich für einen Corona-Test anzumelden.

Inwiefern Sanktionen auf das Unternehmen zukommen, wird von der zuständigen Datenschutzbehörde nun untersucht.