Haben Sie letztens Robert Koch in Berlin getroffen? Nein?
Schade, ich leider auch nicht.
Dennoch war er erst vor kurzem in einem Berliner Testzentrum zugegen.
Das ehrenamtlich arbeitende IT-Kollektiv „Zerforschung“ hat Anfang Oktober wieder einmal Corona-Testzentren in Berlin überprüft und dabei erneut grobe datenschutzrechtliche Vergehen durch die genutzten IT-Anwendungen aufgedeckt.
Bei ihrer Untersuchung hat sich schnell eine völlig ungeschützte Schnittstelle gezeigt, durch die eine Datenbank voller personenbezogener Daten sämtlicher Kunden ohne Einschränkungen für Dritte im Internet einsehbar waren. Konkret konnte das IT-Kollektiv Daten mehrerer hunderttausender Getesteten einsehen. Neben den Testergebnissen konnten unter anderem vollständige Namen und Anschriften sowie Telefonnummern und Emailadressen abgerufen werden. Sie konnten außerdem digitale Test-Zertifikate umschreiben bzw. komplett neue ausstellen.
IT-Interessierte mit einem entsprechenden Wissenstand hätten sich auf diesem Weg unzählige negative PCR Testergebnisse erstellen können, ohne dafür auch nur in die Nähe eines Corona-Testzentrums kommen zu müssen.
So kam es auch dazu, dass Robert Koch, geboren am 11.12.1843, mit seinen rüstigen 177 Jahren problemlos ein negatives Corona-Testzertifikat mit dem gängigen „BärCODE*“ Sicherheitsmerkmal erhalten hat, welches eigentlich eine digitale COVID19-Testverifikation darstellt.
Nach der Aufdeckung dieser massiven Sicherheitslücken hat Zerforschung den Betreiber der Software über die aktuelle Situation informiert. Dieser hat die Datenpanne zugegeben und versichert, dass die Lücken inzwischen geschlossen seien. Außerdem sei geplant, die Betroffenen in der kommenden Woche über den Vorfall zu informieren.
Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erklärt, dass in Deutschland hohe Standards bei den IT-Lösungen im Gesundheitswesen gewahrt werden, dies mitunter aber bei den Corona Testzentren nicht der Fall sei. Hier wurde eine Aufgabe, die eigentlich der Staat sowie die gesetzlichen Krankenversicherungen erfüllen müssen, dem freien Markt überlassen, was angesichts der vielen Meldungen diesbezüglich scheinbar nicht funktioniert.
Laut den ehrenamtlichen IT-Forschern gehen viele Teststellen unverantwortlich mit den Daten ihrer Kunden um, so seien die zuvor genannten Sicherheitsprobleme weiterverbreitet als vorstellbar. „Die Fehler im Datenschutz seien so vielfältig, dass wir uns nur auf die besonders problematischen Fälle fokussieren können, so wie in diesem Fall, wo eine Datenbank komplett offensteht.“ An eine zügige Besserung der Situation glauben die IT-Sicherheitsforscher nicht.
Lesen Sie gerne den kompletten Bericht hier: https://zerforschung.org/posts/meinschnelltest/
Von Sandra Grassow, Zertifizierte Datenschutzbeauftragte