Deutschland

Erneut Datenleck bei Corona-Testzentren: Tausende Namen samt Anschrift und Testergebnis im Netz

Personenbezogene und vor allem medizinischen Daten sollten besonderem Schutz unterliegen. Doch bei den eilig bereitgestellten Corona-Testzentren scheint es darum nicht gut bestellt: Erneut gelangten Tausende Datensätze mit teils sensiblen Informationen ins Netz.
Erneut Datenleck bei Corona-Testzentren: Tausende Namen samt Anschrift und Testergebnis im NetzQuelle: www.globallookpress.com

Erneut sind nach Corona-Tests persönliche Daten samt Anschrift und Testergebnis im Netz verfügbar. Das fand das IT-Kollektiv "Zerforschung" heraus.


"Auch wenn man nicht gerade in den Baumarkt, zum Friseur oder zum Möbelhaus muss, können Tests ein sehr wirksames Mittel in der Pandemiebekämpfung sein – wenn sie für alle verfügbar, leicht zugänglich und auch technisch sicher sind", heißt es auf dem Twitter-Konto von "Zerforschung".

Doch an der Sicherheit hapert es sehr deutlich, erneut hat es eine Datenpanne gegeben. Aktuell wurde eine Sicherheitslücke nach Tests des Unternehmens Eventus Media International entdeckt, durch die Tausende mitunter sensible Informationen online abrufbar waren.

Die Firma, die mit ihren Erfahrungen "im Bereich E-Commerce, Vertrieb, Marketing und Sourcing" wirbt, betreibt neun Corona-Test-Einrichtungen in den Städten Berlin, Hamburg, Leipzig, Dortmund und Schwerte.

Betroffen vom aktuellen Datenleck sind Registrierte aus dem Zeitraum Ende März und Anfang April. Recherchen von NDR, RBB und MDR zufolge sind Tausende Kunden in Hamburg, Berlin, Leipzig und Schwerte betroffen.

Auf der Webseite testcenter-corona.de wird bei der Registrierung jeweils ein Code generiert, mit dem Getestete ihr Ergebnis online abrufen können. Aufgrund der Datenpanne waren diese Codes den Berichten zufolge für mindestens 17.000 Testtermin-Registrierungen im Netz ohne Zugangsbeschränkung aufrufbar, ebenso die bereits vorhandenen Ergebnisse von mindestens 7.000 Tests, wie die Tagesschau berichtet.

Nach Angaben von Eventus Media International wurde die Sicherheitslücke am Dienstag nach Ostern geschlossen. Ein Unternehmenssprecher erklärte, man habe "Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet, um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können. (...) Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tut uns leid, und wir entschuldigen uns bei den betroffenen Kunden." Derzeit werde noch geprüft, welche Daten betroffen seien, "nach unserem aktuellen Kenntnisstand zwischen 6.000 und 7.000 Datensätze kompromittiert sein", so der Sprecher. Die betroffenen Kunden würden informiert.

Erst im letzten Monat war, ebenfalls dank des IT-Kollektivs, bekannt geworden, dass bei einem Berliner Testanbieter rund 136.000 Datensätze ohne Zugangsbeschränkung im Netz standen. Von den Getesteten waren dadurch neben dem Testergebnis Name, Anschrift, Handynummer, E-Mail-Adresse und Geburtsdatum sowie Geschlecht und Staatsbürgerschaft abrufbar.

"Bei personenbezogenen Daten oder gar medizinischen Daten dürfen Sicherheitslücken nicht vorkommen, erst recht nicht derart triviale", so die ITler, die im "Corona-Drama in sechs Akten" mit dem Titel "Wir wissen, wie du diesen Winter getestet wurdest" erklären, wie die "Datensicherheit" des in dem Fall österreichischen Betreibers nicht gewährleistet war. 

Auch andernorts, so beispielsweise in drei Testzentren in Nordrhein-Westfalen, gibt es Hinweise auf ähnliche Datenpannen. Laut Datenschützern ist nach der Kompromittierung sensibler Daten durch Firmen ein Bußgeld möglich. Die Datenschutzgrundverordnung erlaube hier Bußgelder bis maximal zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Die Mitglieder von "Zerforschung" haben auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) den aktuellen Fall gemeldet. Der Präsident des BSI, Arne Schönbohm, sprach von einer "gravierenden" Sicherheitslücke, da sie nach derzeitigem Kenntnisstand leicht ausnutzbar gewesen sei und es zugleich um höchst persönliche Daten gehe. Für die digitale Infrastruktur im Gesundheitswesen gebe es hohe Sicherheitsanforderungen. Allerdings sei "dieses Niveau" bei dem Thema der Testzentren "letzten Endes eben bisher nicht gesetzlich vorgeschrieben gewesen". Mittlerweile hat das BSI eine Sonderabteilung für alle Sicherheitsthemen rund um COVID-19 gestartet.

Mehr zum Thema Spahn: "Wer geimpft ist, kann ohne weiteren Test ins Geschäft oder zum Friseur"