Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.Datenschutzpanne bei der Buga Tausende Corona-Testergebnisse landen offen im Netz
Peinliche Datenschutzmängel im Corona-Testzentrum der Bundesgartenschau: Tausende Ergebnisse konnten wochenlang ganz einfach heruntergeladen werden – inklusive Namen und Anschriften der Getesteten.
Ein Leck im System des Corona-Testzentrums der Buga in Erfurt hat dazu geführt, dass wochenlang sensible Daten von Besuchern öffentlich zugänglich waren. Entdeckt wurde die Panne zufällig: Ein IT-Spezialist hatte die Bundesgartenschau Anfang Mai mit Begleitung besucht, beim obligatorischen Coronatest davor dann offensichtliche und schwerwiegende Mängel festgestellt.
"Als wir den Link zum Abrufen des Befundes bekamen, hatten wir direkt ein mulmiges Gefühl", schreibt Marcel Pennewiß in einem Bericht auf der Seite des Vereins zur Förderung von Technikkultur in Erfurt. Er und seine Begleitung wurden unmittelbar nacheinander getestet. So erkannten sie, dass der zugeschickte Link eine fortlaufende Nummer enthielt.
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
Als Minimalsicherung gab es nur einen zusätzlichen Buchstaben, der sich als Prüfzeichen aus der Ziffernfolge herleiten ließ. "Um das PDF direkt abzurufen, war keinerlei Authentifizierung notwendig. Mit dieser Methode hätten wir auf über 3.000 Testergebnisse in PDF-Form zugreifen können."
Name, Anschrift, Geburtsdatum – alles abrufbar
Brisant: Alle Dokumente enthielten laut Pennewiß Vorname, Name, Anschrift, Geburtsdatum, Testzeitpunkt und -ergebnis. Und: Auch weitere Testzentren hätten das System genutzt. Der Betreiber des Buga-Testzentrums hat seinen Hauptsitz in NRW, unterhält aber auch in Bayern, Baden-Württemberg, Berlin, Sachsen und weiteren Bundesländern Einrichtungen.
Als Pennewiß versuchte, ihn zu alarmieren, führten ihm zufolge sowohl E-Mail-Adresse als auch die angegebene Telefonnummer ins Leere. "Ein zwischenzeitlich erreichter Fliesenleger war sich keiner Schuld bewusst."
Bis heute habe er keine Rückmeldung vom Betreiber erhalten, berichtet der IT-Experte. Auch die von ihm eingeschalteten Datenschutzbehörden hätten den Betreiber zunächst nicht erreicht.
Vier Tage nach seiner Meldung seien die Mängel dann aber behoben gewesen. Alte Daten wurden gelöscht, die aufsteigenden Identifikationsnummern durch zufällige Zahlenkombinationen ersetzt.
Pennewiß zu t-online: "Solche Datenschutzmängel kommen leider zu häufig vor."
In der Pandemie spiele der Zeitdruck vermutlich die größte Rolle. Immer wieder würden ihm und anderen IT-Experten Systeme begegnen, die rasch umfunktioniert wurden, um schnell Lösungen am Start zu haben. Aber: "Unabhängig davon, wo die Gründe liegen, darf so etwas aber nicht passieren."
t-online hat den Betreiber des Buga-Testzentrums um eine kurze Stellungnahme gebeten, bis jetzt allerdings keine Antwort erhalten. Auch Betreiber anderer Testzentren hatten bereits Probleme mit Sicherheitslücken.
- Mailwechsel mit Marcel Pennewiß
- Verein zur Förderung von Technikkultur in Erfurt e. V.: "Datenschutz negativ"
- "Jenaer Nachrichten": "Datenleck in Corona-Teststation"