Erneutes Datenleck bei einem Betreiber von Corona-Schnelltestzentren: Diesmal hatte die auf die Vermarktung von Verbrauchsgütern spezialisierte Firma Eventus Media International ihre Webseite testcenter-corona.de nicht hinreichend abgesichert. Betroffen von der Lücke waren am Dienstag über 14.000 Registrierungen mit hinterlegtem Testergebnis und persönlichen Daten wie Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse.

Wordpress statt eigener Website

Entdeckt hat das Leck die Hackergruppe Zerforschung, die auch zusammen mit dem Chaos Computer Club (CCC) einer Sicherheitslücke beim Startup 21DX und ihrem Dienstleister Medicus Ai auf die Spur gekommen war, über die Informationen von rund 130.000 Getesteten abgerufen werden konnten. Diesmal waren 5800 Bürger in Leipzig, jeweils rund 3000 in Berlin und Hamburg, 1400 in Schwerte sowie 800 in Dortmund betroffen.

Auslöser des Problems: Statt die eigene Website von Grund auf selbst zu entwickeln, setzte Eventus die betroffene Domain laut den IT-Sicherheitsexperten auf dem weitverbreiteten Open-Source-Blog- und Content-Management-System WordPress auf. Das Unternehmen nutzte die dafür vorhandene breite Palette an Erweiterungen für das Buchen von Terminen und Abrufen von Testergebnissen. Der Nutzer muss dafür eine zufällige zehnstellige, alphanumerische Zeichenkette eingeben.

API-Zugriffsmöglichkeit war aktiviert

Zum Verhängnis wurde Eventus, dass die Zuständigen für die Testzentren-Homepages einen eigenen Wordpress-Inhaltstypus "registration" für Schnelltest-Registrierungen anlegten und als Schnittstelle (API) verfügbar machten. Darauf bildeten sie Terminbuchungen und Testzertifikate ab. Die API-Zugriffsmöglichkeit dafür war entgegen üblicher Gepflogenheiten aktiviert, sodass alle Registrierungen auch darüber von außen abrufbar waren. Die Tüftler fanden dabei in der abgefragten Liste sämtliche Abrufcodes für Ergebnisse und die damit verknüpften persönlichen Informationen.

"Das ist in etwa so, als würde man sich einen Safe einbauen lassen, aber den Code dann direkt daneben legen", kritisieren die Experten die laxen Sicherheitsvorkehrungen. Die zehnstelligen Zeichenfolgen hätten sich auf der Testergebnisabfrage-Seite eingeben und die Resultate dann zusammen mit einem informationsreicheren PDF für eine gegenüber Dritten vorzeigbaren Bescheinigung herunterladen lassen. Zudem habe es kein Limit gegeben, wie viele Ergebnisse in einem definierten Zeitraum abrufbar gewesen seien. Eine solche Grenze hätte die Hürde für Angreifer etwas erhöht.

"Mit großer Eile hochgezogen"

Um möglichst schnell die abrufbaren sensiblen Gesundheitsdaten zu schützen und die Lücke zu schließen, schlugen die Forscher beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Alarm. Dieses habe das Problem anonymisiert an Eventus weitergeleitet. Die Firma habe das Leck noch am selben Tag abgedichtet. Zusätzlich führte sie am nächsten Tag ein weiteres Feld zur Abfrage zusätzlicher Angaben beim Abruf eines Testergebnisses ein. Codes, die vor Mittwoch erstellt worden waren, setzte das Unternehmen zurück und schickte den Betroffenen neue Zugangsdaten.

Ein Eventus-Sprecher räumte gegenüber ARD-Sendern ein, dass man die Testcenter einschließlich der damit verbundenen Datenverarbeitungssysteme "mit großer Eile hochgezogen" habe. Dabei sei zwar eine Zusammenarbeit mit "versierten IT-Spezialisten" erfolgt, um den "die größtmögliche Sicherheit gewährleisten zu können". Die Firma entschuldigte sich dafür, "dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten".

"Empfindliche Strafen" gefordert

Zerforschung zufolge waren bis zum Freitagvormittag der Gruppe bekannte Kunden noch nicht über die Panne informiert worden. Um solche Vorfälle künftig zu vermeiden, sollten die Datenschutzbehörden "empfindliche Strafen verhängen". Der Schutz von Gesundheitsdaten dürfe auch in einer Pandemielage nicht auf die leichte Schulter genommen werden, schnelle Handlungsfähigkeit dürfe keine Ausrede sein. Unternehmen müssten ihrer Sorgfaltspflicht vor dem Start eines digitalen Angebots nachkommen.

(bme)