Datenpanne in Corona-Testzentren

26. März 2021

Aufgrund der Eilbedürftigkeit vieler Maßnahmen, die in Zeiten von Corona von Nöten sind, schleichen sich leider auch immer wieder Fehler in verschiedene Prozesse ein. So auch vor Kurzem, als eine Sicherheitslücke in einer von vielen Corona-Testzentren verwendeten Software bekannt wurde.

Was ist passiert?

Das Wiener Startup medicus.ai bietet die hauseigene Software „SafePlay“ als Komplettlösung für Testzentren an. Mittels dieser Software ist es möglich sich für Tests zu registrieren und hinterher auch die Ergebnisse aufzurufen. Den Fachleuten von Zerforschung – einem Kollektiv von IT-Experten- und dem dem Chaos Computer Club (CCC) sind dabei allerdings Unregelmäßigkeiten aufgefallen, die es ermöglichten, dass ca. 136.000 Testergebnisse wochenlang ungeschützt im Internet verfügbar waren. Ihre Ergbnisse veröffentlichten die Fachleute in einem eigenen Bericht.

Dabei wurde bekannt, dass die eingesetzte Software erhebliche Sicherheitslücken aufwies und es keines großen Know-Hows bedurfte um auf sensible PDFs zugreifen zu können. Um das eigene Testergebnis einsehen zu können, erhielt man eine URL. Das Problem dabei war allerdings, dass diese URL eine fortlaufende Nummer enthielt. Es war also möglich die Nummer beliebig zu verändern, etwa durch eine Addition oder Subtraktion, und dadurch zu den Testergebnissen von Dritten zu gelangen. Besonders brisant macht den Fund, dass neben des Testergebnisses auch der Name, die Anschrift, Staatsbürgerschaft und die Ausweisnummer der Betroffenen zu sehen war.

Das Problem ist behoben

Das Unternehmen medicus.ai hat sich nach Bekanntwerden der Sicherheitslücke in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Fehler gewidmet und die Schwachstelle behoben. In einem eigenen Statement führt medicus.ai aus, dass es lediglich zu 6 Zugriffen auf Datensätzen von Nutzern gekommen sei.