Lässt du dich mittels Antigen-Schnelltest auf das Coronavirus testen, bekommst du das Ergebnis in der Regel digital mitgeteilt. Das Zertifikat kannst du anschließend unter anderem in der Corona-App hinterlegen. Doch was passiert eigentlich mit deinen Daten und sind sie eigentlich sicher? Ein aktueller Fall zeigt, dass das nicht immer der Fall ist. Denn hunderttausende Details und Zertifikate sind im Netz einsehbar.
Corona-Testergebnisse im Internet gelandet
Wie das IT-Kollektiv Zerforschung herausfand, konnten aufgrund einer nicht geschützten Schnittstelle diverser Testanbieter Daten ins Netz gelangen und waren für Dritte einsehbar. Darunter befanden sich nicht nur sensible, personenbezogene Daten wie etwa Anschrift, Telefonnummer, Mail-Adresse und Name. Auch Testergebnisse und Zertifikate sowie Personalausweise fanden die Experten in einigen Fällen.
Betroffen sind Kunden, die sich bei Testzentren „Schnelltest Berlin“ haben testen lassen. Laut Zerforschung seien von mutmaßlich 400.000 Kunden knapp 700.000 Testergebnisse öffentlich einsehbar gewesen.
Zertifikate des RKI im Quellcode
Neben den personenbezogenen Daten entdeckten die IT-Experten darüber hinaus auch Zertifikate des Robert-Koch-Institut (RKI) im Quellcode des betroffenen Servers. Konkret konnten sie die Endpunkte einsehen, über die man neue Tests im System der Testzentren anlegt und das Ergebnis im nachfolgenden speichert. In einem Versuch konnte Zerforschung einen PCR-Test generieren, der mit negativem Ergebnis für einen 177 Jahre alten, fiktiven Mann (namens Robert Koch) ausgestellt werden konnte.
Dem ganzen setzt die Krone auf, dass das manipulierte Testzertifikat selbst den sogenannten BärCODE enthielt. Dieser markiert Zertifikate im Normalfall als offiziell und gilt als Sicherheitsmerkmal. Der Code wurde von der gleichnamigen Prüf-App als gültig anerkannt.
Kunden nicht informiert
Nach der Aufdeckung der Sicherheitslücken informierte Zerforschung zuständige Stellen; der Software-Betreiber schloss die Lücken nach kurzer Zeit. Die falsch generierten Testergebnisse und Zertifikate konnten die IT-Experten trotz dessen weiterhin ansehen. Weiterhin heißt es, dass Kunden bisher nicht über die Datenlücke informiert wurden.
Der Zusammenschluss „Schnelltest Berlin“ ist nicht der einzige Anbieter, der Sicherheitsmängel aufweist. Auch andere Teststellen gehen unverantwortlich mit Daten um. Dementsprechend sind diese Fehler weitverbreitet, so Zerforschung gegenüber rbb24.