Datenpanne im Corona-Testzentrum

Sich auf eine Infizierung mit dem Covid-19-Virus testen zu lassen wird für immer mehr Menschen beinahe alltäglich. Vielerorts sind Testzentren eingerichtet, in denen dies schnell und in der Regel sogar kostenlos möglich ist.

Meist erhalten die Besucher am Ende einen Zugangscode, über den sie nach Ablauf einer gewissen Zeit ihr Testergebnis online einsehen oder eine Bestätigung ausdrucken können. Diese werden vielerorts zum Beispiel vor Betreten bestimmter Einkaufsläden eingefordert. Somit führt kaum ein Weg daran vorbei, sich in ein Testzentrum zu begeben und dort auch seine personenbezogenen Daten anzugeben.

Bei der Online-Präsenz einiger Testzentren kam es nun immer wieder zu IT-Pannen, bei denen Daten von Getesteten jedem zur Verfügung standen. Hierbei handelte es sich nicht nur um personenbezogene Daten wie Name, Geburtsdatum, Adresse und Telefonnummer, sondern auch um die jeweiligen Testergebnisse, die als Gesundheitsdaten unter dem besonderen Schutz des Art. 9 I DSGVO fallen.

Aktuelle Beispiele

Nicht nur im März 2021 wurde von Sicherheitsforschern festgestellt, dass Corona-Testzentren in Deutschland und Österreich unzureichend geschützt waren (hier waren Name, Adresse, Geburtsdatum, Staatsbürgerschaft, das Corona-Testergebnis und teilweise Ausweisdaten von mehr als 80.000 Personen offen einsehbar), sondern auch immer noch vor Kurzem war es möglich, entsprechende Daten von über 14.000 Getesteten aus Zentren in Hamburg, Berlin, Leipzig und Schwerte einzusehen.

Das Problem ist also immer noch aktuell.

Gründe für die Datenpannen

Doch wo genau lagen die Fehler, die solche Datenpannen überhaupt möglich machen?

Bei über 100 Testzentren standen Schnittstellen der Webseiten und Webanwendungen, über die Kunden sich für einen Test anmelden und ihr Ergebnis abfragen können, ungeschützt zur Verfügung. Nicht nur waren diese Schnittstellen der betroffenen Testzentren ungenügend gesichert, sondern konnten selbst laienhafte Computernutzer durch Abänderung der letzten Ziffer ihrer zugeteilten Kunden-Kennnummer zur Einsicht in ihr Ergebnis das Ergebnis und andere personenbezogenen Daten anderer Kunden einsehen. Um das zu verhindern, können in der Programmierung so genannte UUIDs und komplexe Hashwerte (Ergebnisse) verwendet werden.

Zudem soll zum Teil online über jeden Kunden-Account einsehbar gewesen sein, in welchem Testzentrum wann wer getestet wird und was das Ergebnis ist.

Konsequenzen

Gegen die einzelnen Betreiber wurden Bußgelder verhängt, so wie es auch von der DSGVO vorgesehen ist. Allerdings wurden schnell Stimmen laut, dass es den Behörden beim Vorgehen gegen solche Datenpannen an der nötigen Härte fehle.

Die betroffenen Betreiber, die die Pflicht zur Meldung dieser Datenpannen traf, sagten aus, dass die Schwachstellen inzwischen behoben seien.

Doch es ist absehbar, dass bezüglich der Datenmengen, die in Zusammenhang mit Corona erhoben werden, in Zukunft noch weitere Digitalisierungsmängel offenbart werden.