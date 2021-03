Jens Büttner/dpa-Zentralbild/dpa Testzentren eines bestimmten Betreibers unter anderem in München, Berlin, Mannheim und im österreichischen Klagenfurt sollen von der Sicherheitslücke betroffen sein (Symbolbild, Ludwigslust, 15.3.2021)

München. Mehr als 130.000 Corona-Testergebnisse und die dazugehörigen persönlichen Daten haben offenbar ungeschützt im Internet gestanden. Es seien mindestens 136.000 Datensätze betroffen gewesen, berichteten die Süddeutsche Zeitung (Onlineausgabe), der Rundfunk Berlin-Brandenburg und die Wiener Tageszeitung Der Standard am Donnerstag. Sie beriefen sich auf eine Analyse des IT-Expertenkollektivs »Zerforschung« und des Chaos Computer Clubs (CCC).

Zusammen mit den Ergebnissen der Schnelltests waren demnach jeweils eindeutig identifizierende Daten wie Name, Adresse, Staatsbürgerschaft, Mobilfunknummer, Geschlecht, E-Mail-Adresse und in einigen Fällen die Ausweisnummer im Internet zu finden. Unbefugte hätten die Daten als PDF herunterladen können. Dazu mussten sie sich den Berichten zufolge nur ein Konto bei einem Testzentrum erstellen und ihren Internetbrowser trickreich nutzen.

Über eine zweite Sicherheitslücke waren demnach Statistiken über die aktuellen Zahlen der positiven und negativen Ergebnisse in den Zentren einsehbar, sowie mit etwas Aufwand Fotos der QR-Codes, die Getestete erhalten, samt Testergebnis. Beide Sicherheitslücken seien den Berichten zufolge in der vergangenen Woche geschlossen worden. Die Lücken klafften demnach in der Software »Safeplay« des österreichischen Unternehmens Medicus AI. Das Programm werde in Testzentren benutzt, um Termine zu vergeben und den Getesteten ihre Ergebnisse digital zugänglich zu machen. Betroffen seien vor allem Testzentren eines bestimmten Betreibers, unter anderem in München, Berlin, Mannheim und im österreichischen Klagenfurt.

Nach der Entdeckung der Lücken schalteten die IT-Experten von »Zerforschung« und CCC den Berichten zufolge das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein, das wiederum Medicus AI informiert habe. Die Süddeutsche Zeitung zitierte das Unternehmen mit den Worten, die Sicherheitslücke sei »durch einen Fehler in einem Update der Software von Mitte Februar« entstanden. Das BSI erklärte dem Blatt zufolge, ihm lägen »derzeit keine Anhaltspunkte dafür vor, dass die Schwachstelle missbräuchlich ausgenutzt worden ist«. (AFP/jW)