Ergebnisse von 45.000 Menschen zugänglich: Datenleck in Software – auch zwei Berliner Teststationen betroffen

In der Software zweier Berliner Corona-Schnellteststationen ist ein Datenleck entdeckt worden. Durch eine Sicherheitslücke konnten Unbefugte auf Testergebnisse und andere sensible Daten zugreifen. Betroffen sind die „Testzentrale“ im Ring Center in Friedrichshain und das „Hotel Estrel“ in Neukölln. Mit wenigen Handgriffen ließen sich Daten von mehr als 6000 Registrierungen seit Anfang April abfragen, darunter sensible Angaben wie Adresse und Geburtsdatum.

Um die Daten abzurufen, bedurfte es keiner speziellen IT-Kenntnisse – vielmehr reichte simple Logik. Wer sich bei der Testzentrale für einen Termin registriert, erhält eine eigene vierstellige Identifikationsnummer, kurz ID. Nach dem Test erhält jede:r Getestete eine Schnelltest-Nummer.

Beide Nummern reichten aus, um das Ergebnis jedes Getesteten dieser Teststation zu erhalten. Wer die URL – also die Internetadresse – nur leicht veränderte, hatte Zugriff auf Name, Geburtsdatum, Anschrift, Testergebnis und Uhrzeit des Termins der dort angemeldeten Personen. Um diese Daten abzurufen, brauchte es eine eigene Registrierung – eine geringe Hürde.

Das Datenleck betraf nicht nur die Berliner Teststationen. Nach einer ersten Recherche nutzen Teststationen in Städten wie Hamburg, Düsseldorf, Stuttgart, Würzburg, Heidelberg bis zu kleineren Orten wie Deidesheim, Rottweil und Westerkappeln dieselbe Software.

Softwarebetreiber Innofabrik: Leck nach Tagesspiegel-Anfrage geschlossen

Betreiber aus ganz Deutschland, die die Software nutzen, könnten die Datenlücke auf ihrer Website haben. Bei einer stichprobenartigen Prüfung des Tagesspiegel in 13 Teststationen, die nach ersten Recherchen die Software von Innofabrik nutzen, war am Sonnabend auch der Abruf fremder Daten möglich – es geht um insgesamt mehr als 45.000 Termindaten.

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Softwarebetreiber ist die Innofabrik, eine Firma aus dem rheinland-pfälzischen Haßloch bei Mannheim. Nach eigenen Angaben betreiben gerade ausschließlich Studierende die Firma als Nebenerwerb. Die Software sei „gemeinsam mit verschiedenen lokalen Experten in den Themen Datenschutz, IT-Recht und dem DRK Haßloch-Meckenheim“ entwickelt worden.

© Kai-Uwe Heinrich

Innofabrik-Geschäftsführer Dennis Messer entschuldigte sich für das Datenleck „zutiefst“. Die Firma habe bei der Entwicklung der Software „mit verschiedenen Datenschutzbeauftragten zusammengearbeitet“. Die Software habe eine professionelle Sicherheitsüberprüfung durchlaufen, „bei welcher diese Sicherheitslücke leider nicht entdeckt wurde“.

Messer erklärte: Der Fehler sei bei der Weiterentwicklung der Software in einer bestimmten Version entstanden. Nach der Tagesspiegel-Anfrage hat die Firma die Datenlücke geschlossen. Eine Stellungnahme der Teststation-Betreiber lag dem Tagesspiegel bis Samstagnachmittag nicht vor.

Schon wiederholt Lecks bei Schnelltest-Software aufgefallen

Es ist nicht die erste Datenlücke bei einem Berliner Testzentrum. Mitte März machte der RBB ein Datenleck der Corona-Schnellteststationen der Firma 21DX und ihres Dienstleisters Medicus Ai publik. Laut einer Analyse des IT-Kollektivs „Zerforschung" und des Chaos Computer Club (CCC) lagen für Tausende von Getesteten hoch sensible Daten schlecht gesichert im Netz. Mehr als 130.000 Registrierungen waren einsehbar.

Anfang April wurde ein weiteres Datenleck bekannt. Diesmal bei dem Anbieter für Corona-Schnelltests, Eventus Media International (EMI). Nach Angaben des Kollektiv „Zerforschung“ waren 14.000 Registrierungen samt der Testergebnisse zugänglich. Betroffen waren Kunden aus Hamburg, Berlin, Leipzig, Dortmund und Schwerte.

Der Senat zertifiziert die Berliner Testzentren, prüft aber offenbar nicht deren Datensparsamkeit. Die Gesundheitsverwaltung hatte im März erklärt, dass die Testzentren von sich aus die gesetzlichen Pflichten bei der Datenverarbeitung einhalten müssen.