Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.Datenpanne PCR-Tests: Tausende Daten öffentlich bei Google
Testzentren in Bayern haben öffentlich zugängliche Google-Dateien genutzt, um Termine für PCR-Tests zu organisieren. So war zu lesen, wann welche Person getestet wird – mitsamt allen persönlichen Daten.
Es war einfach, komfortabel – und für Datenschützer ein Graus: Zur Terminabstimmung für PCR-Tests in zwei Testzentren des Arbeiter-Samariter-Bunds (ASB) in Bayern wurden öffentlich abrufbare Google-Tabellen eingesetzt. Jeder, der den Link kannte, konnte sie aufrufen. t-online liegen Listen mit einer vierstelligen Zahl von Personen mit persönlichen Daten vor, die in den vergangenen Wochen Termine für PCR-Tests vereinbart haben. Der Fall ist offenbar ein Musterbeispiel für blauäugigen Umgang mit Datenschutz.
Konkret geht es um die Termine des Testzentrums des Landkreises Forchheim sowie des gemeinsamen Zentrums der Stadt Erlangen und des Landkreises Erlangen-Höchstadt: In Erlangen sieht das Dokument an normalen Tagen bis zu 160 Termine am Tag vor und bei hoher Nachfrage bis zu 320 Termine. In Forchheim sind es bis zu 100. Die aktuell verfügbaren Dokumente umfassten abgeschlossene und vereinbarte Termine von Anfang bis Ende Juni.
Genaue Anschrift und Telefonnummer
In Erlangen gibt das Dokument auch Auskunft über Nationalität, Geburtsdatum, genaue Anschrift, Telefonnummer und E-Mail-Adresse der Testpersonen, in Forchheim über Telefonnummer und Wohnort. Immerhin: Die Testergebnisse finden sich dort jeweils nicht. Und über eine einfache Google-Suche waren die Dateien nicht zu finden.
Unter den Betroffenen sind auch Journalisten, die zur EM die Nationalmannschaft journalistisch begleiten und für Zugang zu Pressekonferenzen oder Trainings PCR-Tests vorlegen müssen. Das Löw-Team hat sein Quartier in Herzogenaurach im Kreis Erlangen-Höchstadt.
Für Terminvergaben in den beiden Zentren gibt es zwei eingängige 0800er-Nummern. Wer dort anruft, landet beim Callcenter-Betreiber abravo, der die Termine für PCR-Tests vergibt und die Daten erfasst. Verantwortlich für die Datenpanne seien sowohl Dienstleister als auch der ASB, erklärte ein Sprecher des bayerischen ASB auf Anfrage von t-online.
Kurz nach der Anfrage von t-online waren die Dokumente nicht mehr abrufbar. Die Terminvergabe wurde zunächst ausgesetzt. Die Datenlücke sei umgehend geschlossen und das Schutzniveau erhöht worden, so der ASB-Sprecher, der Prozess solle umgestellt werden. Der ASB bedauere den Vorfall und werde die Panne innerhalb der gesetzlichen Meldefrist bei der Aufsichtsbehörde anzeigen.
ASB betreibt 123 Testzentren
Erlangen und Forchheim seien die einzigen Standorte, an denen der ASB mit dem Dienstleister zusammenarbeite. Die Terminabstimmung in den bundesweit 123 Testzentren mit Beteiligung des ASB sei nicht einheitlich organisiert. Auch nach abravo-Angaben sind Erlangen und Forchheim die einzigen Testzentren, für die das Unternehmen Termine vergibt.
Doch wie kam es zu der Panne? Mario Ostroski, Leiter der Business Unit von abravo, erklärte t-online, er habe die Spreadsheets – Googles Onlinevariante von Excel – erstellt und nur wenige Adressen dafür freigeschaltet. Der öffentliche Zugriff war nach dieser Darstellung zumindest anfangs nicht möglich.
Offenbar konnten aber freigeschaltete Bearbeiter die Berechtigung ändern. Das lässt sich in den Einstellungen bei Google abschalten – war es augenscheinlich jedoch nicht.
Der Callcenter-Manager schließt nicht aus, dass ein Nutzer die Freigabe geändert und den Link weitergegeben hat, um dem Unternehmen oder den Testzentren zu schaden. Das Unternehmen werde einen IT-Spezialisten zur Aufklärung hinzuziehen und bedauere den Fall sehr.
Bislang ist auch unklar, seit wann die Daten der Testzentren abrufbar waren. In einem Internetforum gab es Anfang Juni einen Hinweis auf ein Datenproblem, ohne dass allerdings Ort und Firma genannt wurden.
CCC deckte Riesenfall auf
Der Chaos-Computer-Club (CCC) hatte im März einen anders gelagerten Fall massenhaft abrufbarer Testdaten aufgedeckt: Wenn Testzentren mit dem Softwareanbieter medicus.ai zusammenarbeiteten, konnte jeder mit einem Account für einen Covid-19-Test andere Tests sehen. Dazu musste nur in der Internetadresse des eigenen Tests die fortlaufend nummerierte Zahl geändert werden.
Theoretisch war so der Zugriff auf 136.000 Testergebnisse mit Namen möglich, berichtete der CCC. Aufgefallen war die Lücke dem Club beim Unternehmen 21Dx in Berlin, das sich als "größter Betreiber von Corona-Teststationen in Deutschland" bezeichnete. Linus Neumann vom CCC kommentierte den Fall: "Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT."
- Eigene Recherchen
- ccc.de: 136.000 Corona-Testergebnisse samt persönlicher Daten frei einsehbar
- Corona-Testzentren ASB Forchheim
- Corona-Testzentrum ASB Erlangen
- ASB: Arbeiter-Samariter-Bund in über 200 Impf- und Testzentren bundesweit im Einsatz