Corona-Testzentren
Foto Prasesh Shiwakoti, thx!

Corona-Testzentren voller Sicherheitslücken: Millionen Daten in Gefahr

Heiko Frenzel fand Lücken in den Plattformen diverser Corona-Testzentren, die den Zugriff auf bis zu 1 Million Patientendaten ermöglichen.

Der IT-Berater Heiko Frenzel fand per Zufall Sicherheitslücken in der Plattform mehrerer Corona-Testzentren, die den Vollzugriff auf möglicherweise bis zu einer Million und mehr Patientendaten ermöglichen. Dies sei der „ultimative Alptraum“ für die Patienten, die sich in der Vergangenheit haben testen lassen.


Heiko Frenzel stolperte über gleich mehrere „höchst kritische Sicherheitslücken“, die über Umwege den problemlosen Zugriff auf die Daten von unzähligen Personen ermöglichen, die sich in einem Corona-Testzentrum untersuchen ließen.

Plattformen zur Verwaltung der Corona-Testzentren gleich mehrfach betroffen

cybercrime corona

Betroffen sind bei den Plattformen mehrere Systeme zur Online-Buchung der Corona-Tests, sowie zur Verwaltung der Termine. Cyberkriminelle hätten diverse Stammdaten, Teststationen, Sonderbuchungen, Daten der Labors, Patientendaten und mehr kopieren können. Neben den Buchungs-Plattformen für Patienten, ist auch eine zentrale Haupt-Plattformen – auf der offenbar sämtliche Daten aus allen Zweigstellen gehortet und verwaltet werden – von schwerwiegenden Sicherheitslücken betroffen, welche einem Angreifer den uneingeschränkten Zugriff auf Millionen Datensätze ermöglicht hätten.

Neben den jeweiligen Patientendaten, wurden auch deren zugehörige Sicherheitstoken, E-Mail-Adressen und sogar Handynummern, in den gleichen Systemen hinterlegt, was theoretisch auch zur Manipulation bei den Buchungen geeignet gewesen wäre. Zudem dürften die betroffenen Daten auch dazu geeignet sein, die jeweiligen Befunde der Patienten, über die zugehörigen Dienste von Drittanbietern, die laut Frenzel ebenfalls von Schwachstellen betroffen sind, abzurufen.

Doch das ist noch nicht alles. Zusätzlich ermöglichen weitere Schwachstellen in den Plattformen der Corona-Testzentren das Einschleusen von Schadcode, um die Computer der Personen zu verseuchen, die diese Webseiten besuchen wollen. Um die Daten der Betroffenen zu schützen, ist Frenzel in seinem Blogbeitrag nicht näher auf den Ort des Geschehens und die entsprechenden Bugs eingegangen.

Betreiber sind informiert – Frenzel befürchtet den „ultimativen Datenschutz-Alptraum“

Die Betreiber haben den Hinweis direkt zur Kenntnis genommen und nach eigenem Bekunden die „zuständigen Abteilungen informiert“. Der IT-Berat hat seine Unterstützung aufgrund moralischer Differenzen und mangels Zeit nicht angeboten. Er riet ihnen allerdings dazu, ihre komplette Infrastruktur umfangreich zu prüfen. Ob man die Schwachstellen (SQL-Injections, XSS u.v.m.) mittlerweile vollständig beseitigt hat, ist nicht bekannt. Auch das ist ein Grund dafür, weswegen Frenzel nicht näher auf die Sicherheitsmängel eingeht.

Auf den ersten Blick sind von der Problematik betroffen die Plattformen (und damit die Patienten) von Corona-Testzentren der jeweiligen Landratsämter im Raum Freising, Dingolfing, Garching, Bad Tölz – Wolfratshausen, Höhenkirchen – Siegertsbrunn, Starnberg, Unterhaching, Grünwald, sowie das Corona-Testzentrum im „Munich Airport Center“ am Flughafen München und das Corona-Testzentrum der Landeshauptstadt München.

Im Laufe der Zeit dürften haben bei den genannten Stellen sicherlich sehr viele Menschen einen Test machen lassen. Ob auch die Plattformen anderer Städte oder Einrichtungen betroffen sind, ist nicht bekannt. Man könne dies aber auch nicht komplett ausschließen.

Auszug aus Datenbank

Digitalisierung funktioniert nicht ohne Datenschutz

Kommentar: Heiko Frenzel hat schon häufiger seine „Bauchschmerzen“ beim Thema Ausweitung der staatlichen Digitalisierung geäußert. Der Vorfall ist ein weiterer Beweis dafür, dass seine Bedenken nicht unbegründet sind. Insbesondere im medizinischen Bereich sei Digitalisierung „reine Zukunftsmusik“, weil die Regierung „schlichtweg nichts von diesen Dingen versteht“, schreibt Frenzel.

Insbesondere Herr Söder solle sich künftig mehr Gedanken zur Verbesserung des Datenschutzes seiner Bürgerinnen und Bürger machen. Söder forderte in der Vergangenheit schon häufiger öffentlich, dass man die Digitalisierung in Bayern forcieren sollte. Wer das tut, muss mit der gleichen Energie für die Sicherheit der Daten seiner Bürger sorgen. Alles andere wäre grob fahrlässig.

Bleibt abschließend nur zu hoffen, dass man die Sicherheitslücken bezüglich der Corona-Testzentren bereits alle geschlossen hat.

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.