Umfang des Datenlecks noch ungewiss

Sicherheitslücke machte Corona-Befunde abrufbar!

MÜNCHEN/BERLIN (dpa) - Durch eine Sicherheitslücke konnten Unbefugte auf Befunde von Corona-Tests zugreifen. Der Chaos Computer Club (CCC) geht davon aus, dass 136.000 Ergebnisse von mehr als 80.000 Betroffenen sowie persönliche Daten frei einsehbar waren, wie er am Donnerstag mitteilte. Aufgefallen war die Sicherheitslücke Mitgliedern der Gruppe Zerforschung nach dem Besuch in einem Berliner Testzentrum. Zuvor hatten unter anderem die «Süddeutsche Zeitung» der rbb und «Der Standard» darüber berichtet.

Betroffen war laut CCC eine vom österreichischen Unternehmen Medicus AI zur Verfügung gestellte Software namens Safeplay für Testzentren, die von mehreren Betreibern eingesetzt wird. Die Organisation informierte daraufhin das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Medicus AI erklärte, man sei am 11. März vom BSI über die Sicherheitslücke informiert worden. Diese habe ermöglicht, «dass eingeloggte Nutzer mit IT-Kenntnissen die Befunde anderer Nutzer abrufen konnten». Dem Unternehmen zufolge wurde die Lücke allerdings nur bei sechs Personen ausgenutzt und binnen Stunden geschlossen. Man bedauere den Vorfall sehr.

Die betroffenen Personen hatten sich beim Testzentrum-Betreiber 21Dx testen lassen, der in München sitzt und Kunde bei Medicus AI ist. Dieser bestätigte, die betroffene Software «an vielen mobilen und stationären Covid-Teststellen im gesamten Bundesgebiet» zu nutzen. Die betroffenen Nutzer seien direkt informiert worden.

Der CCC meldete daran allerdings Zweifel an: «Für Testergebnisse von Freundinnen, auf die wir mit deren Erlaubnis unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten», heißt es in seiner Mitteilung.

Das Bayerische Landesamt für Datenschutzaufsicht erklärte, man kläre noch, wie schwerwiegend die Sicherheitslücke gewesen sei. «Im Mittelpunkt steht die Frage, in welchem Umfang die IT-Lücke tatsächlich für missbräuchliche Zugriffe ausgenutzt wurde», sagte Präsident Michael Will. Leider kämen solche Sicherheitsvorfälle häufiger vor. Das Erste Augenmerk richte sich dann immer darauf, ob die Schwachstelle behoben wurde. «Dies scheint im vorliegenden Sachverhalt der Fall zu sein.»

Die Berliner Senatsverwaltung für Gesundheit, Pflege und Gleichstellung forderte 21Dx auf, «unverzüglich eine umfassende, externe Auditierung ihrer IT-Lösungen vorzunehmen».