Gravierende Datenpannen bei zahlreichen Corona-Testzentren

In dieser Woche widmen wir uns im Blog der „Datenpanne“ und beginnen hier mit einem Themenbereich, der uns alle auch im neuen Jahr 2022 noch weiter beschäftigen wird: Der Umgang mit Corona-Testergebnissen in der Pandemie.

Ohne Frage sind Corona-Testzentren ein fundamentales Instrument bei der Bekämpfung der COVID-19-Pandemie. Vor der ausreichenden Verfügbarkeit von Impfstoff zur Immunisierung der Bevölkerung waren Antigen- und PCR-Tests neben Kontaktbeschränkungen wohl das wirksamste Mittel, um die Ausbreitung des Virus zu bremsen. Aber auch knapp zwei Jahre nach dem Ausbruch der Pandemie bilden sich bundesweit aufgrund von 3G, 2G-Plus, einem nachlassenden Impfschutz sowie der Ausbreitung der Omikron-Variante vor den Testzentren lange Schlangen.

In die Schlagzeilen kamen die Testzentren dabei nicht nur wegen systematischem Betrug bei der Abrechnung, sondern auch aufgrund der teilweise unzureichenden Datensicherheitsmaßnahmen. Natürlich musste und muss es beim Aufbau der Zentren schnell gehen, aber zu welchem Preis?

Testergebnisse (zu) leicht zugänglich

Im vergangenen Jahr wurden immer wieder Sicherheitslücken bei den Testzentren bekannt, die dazu führten, dass hunderttausende Testergebnisse nahezu ungeschützt über das Internet abrufbar waren. Besonders gravierend war die im Herbst durch die gemeinnützige Expertengruppe zerforschung aufgedeckte Datenpanne bei einem Berliner Testzentren-Betreiber. Mit nur geringen IT-Kenntnissen bzw. ausreichend Neugier war es damals möglich auf ca. 400.000 Datensätze der getesteten Personen zuzugreifen. Auch die Manipulation bzw. die Generierung eigener Tests war möglich.

Die Benutzerrechte auf horizontaler Ebene auszuweiten war dabei denkbar einfach. Nach Login musste die getestete Person lediglich die URL um einen gewissen Anteil kürzen und hatte anschließend Zugriff auf einen Datensatz von 400.000 Testergebnissen. Enthalten waren hierin Name, E-Mail-Adresse, Geburtsdatum, Geschlecht, Telefonnummer, Adresse und teilweise auch die Pass- bzw. Ausweisnummer der getesteten Person. Außerdem war es möglich, durch eine Veränderung der Order-ID, die dem jeweiligen PDF-Dokument mit dem Testergebnis zugeordnet ist, die Testergebnisse aller anderen getesteten Personen inklusive QR-Code abzurufen.

Mit etwas Grundlagenwissen zum Aufbau derartiger Web-Plattformen und fehlender Authentisierungsmechanismen war es zudem möglich, wie eine Mitarbeiterin bzw. ein Mitarbeiter des Testzentrums die Ursprungsdatei des Testzertifikats aufzurufen und PDF-Zertifikate zu generieren. So konnten die Angaben in der Datei nach Belieben modifiziert und somit gefälschte Testzertifikate erstellt werden. Als Beweis erstellte die Expertengruppe ein Testzertifikat für den 1910 verstorbenen Mediziner, Arzneimittelforscher und Namensgeber des RKI, Robert Koch, welches auch von den Zertifikatsscannern für echt befunden wird.

Solche Datenpannen sind vermeidbar!

Im beschriebenen Fall muss man kein Experte sein, um zu erkennen, dass die getroffenen technischen Maßnahmen mangelhaft waren. Hätten die Anbieter der Plattform das ABC der Entwicklung von Webapplikationen und insbesondere die OWASP TOP 10 berücksichtigt, wären solch gravierende Sicherheitslücken sehr unwahrscheinlich. Entsprechende Mängel wären auch im Rahmen eines Penetrationstestes beanstandet worden und hätten entsprechend behoben werden können bevor der Schaden entsteht.

(Unsichere) Datenfriedhöfe

Zu befürchten bleibt hierbei, dass vergleichbare Datenpannen auch in Zukunft auftreten werden, selbst wenn das Testzentrum zwischenzeitlich bereits geschlossenen wurde. Aufgrund der Corona-Testverordnung müssen die Testergebnisse nämlich unverändert bis Ende 2024 aufbewahrt werden.

Bei einer Anzahl von mittlerweile fast zwei Millionen Testungen pro Tag (Tendenz steigend) kann man sich dabei leicht ausrechnen, welche Datenmassen hier bereits entstanden sind und noch dazu kommen werden. Überführt das Testzentrum die Testergebnisse nicht in ein entsprechend gesichertes Archivsystem, könnten Angreifer auf die hinterlegten Datensätze der Webapplikationen aufmerksam werden und ggf. bestehende Sicherheitslücken (siehe oben) ausnutzen. Die Betreiberinnen und Betreiber von Testzentren sollten also auch künftig gut darauf achten die entstehenden „Datenfriedhöfe“ ausreichend zu schützen.

Ausblick

Mittlerweile sind die Testzentren ein fester und elementarer Bestandteil in der Pandemiebekämpfung und viele Betreiber agieren gewissenhaft und ergreifen angemessene Maßnahmen zum Schutz der sensiblen Daten. Die bekanntgewordenen Sicherheitslücken bei einigen Testzentren führen aber leider zu einem erheblichen Imageverlust für die gesamte Branche und mitunter auch zu einem Vertrauensverlust der Bürgerinnen und Bürger. Dabei waren die Sicherheitslücken gut vermeidbar, wenngleich natürlich mit Aufwänden verbunden.

Leider wird im Genehmigungsverfahren von Testzentren ausschließlich auf die Umsetzung geeigneter Hygienekonzepte, den Einsatz geschulten Personals, geeignete Räumlichkeiten etc. geachtet – datenschutzrechtliche Vorgaben spielen bei der Genehmigung hingegen keinerlei Rolle.

Eine enge Begleitung der Testzentren durch die zuständigen Datenschutzaufsichtsbehörden erscheint daher angebracht und bei festgestellten Verstößen sollten diese konsequent sanktioniert und sofern erforderlich auch Bußgelder verhängt werden. Letztere könnten dabei angesichts der hohen Umsätze der Testzentren empfindlich ausfallen.

Philian Hole | 10. Januar 2022 | Allgemein, Gesundheitsdatenschutz | „zerforschung“, Benutzerrechte, Corona-Testzentren, Datenpanne, Datensätze, Impfzertifikat, Sicherheitslücken, Sicherheitsmaßnahmen, Testergebnisse, Webapplikationen