Die Forscher von dem IT-Kollektiv "Zerforschung" haben untersucht, wie sicher das System von Berliner Corona-Teststationen wie "schnelltestberlin.de" oder den "Coronabikes" ist. Dabei entdeckten sie gravierende Datenschutzlücken.

400.000 Daten entdeckt

Durch das einfache Ändern der URL, also der Internetadresse, können die Forscher nach einigen Versuchen die Liste mit getesteten Personen aufrufen. Von den Personen, die auf der Plattform registriert sind, können Name, E-Mail-Adresse, Geburtsdatum, Geschlecht, Telefonnummer, Adresse und falls angeben, die Pass- oder Ausweisnummer abgerufen werden.

Insgesamt haben sie so fast 400.000 Daten einsehen können.

Testergebnisse einsehbar

Neben den Daten der Getesteten sei im System noch ein Feld mit dem Namen "orders", Deutsch: "Bestellung" versehen. Hier ist eine Nummer, die "Order-ID", vermerkt. Die Forscher konnten mithilfe ihres eigenen Testergebnisses auch die Ergebnisse anderer getesteten Personen einsehen. Dafür mussten Sie bei der Internetadresse nur ihre eigene ID gegen eine andere eintauschen. Die Forscher kommen zum Ergebnis, dass der Server nicht überprüfe, ob das aufgerufene Testergebnis auch wirklich das eigene ist. Dies sei eigentlich technisch möglich, da sie eingeloggt sind.

Mithilfe der Personenliste gingen die Forscher davon aus, dass beinahe 700.000 Testergebnisse zum Abrufen regelrecht frei im Netz gewesen seien.

Auch interessant:

• Rekord bei Corona-Inzidenz - Ampel plant 3G am Arbeitsplatz
• Tests und freiwilliges Impfen sollen vierte Welle brechen
• Drosten teilt Schockfoto von Covid-Arzt: Die Nebenwirkungen von Corona-Arzneien

Neue Testergebnisse anlegen

Die Forscher konnten außerdem im Quellcode erkennen, wie Mitarbeiter einen neuen Test im System einpflegen. In der Informatik bezeichnet man den Quellcode als einen Text des Computerprogramms, der zwar in Programmiersprache geschrieben ist, aber für Menschen lesbar ist.

Nach Angaben der "Zerforscher" sei dies eigentlich kein Problem. Normalerweise müsste der Server erkennen, ob Personen ein Zugriffsrecht haben. Solch ein Recht dürften nur Mitarbeiter eines Testzentrums haben. Dennoch konnten auch hier die Forscher auf die Daten zugreifen und sie verändern. Das Ergebnis: Die Forscher konnten für jede beliebige Person einen Test erstellen, ohne dass die Person jemals getestet wurde. Ausprobiert haben die Forscher es mit den Daten von "Robert Koch".

Selbst der BärCode des gefälschten Testergebnis galt als gültig. "Der BärCODE ist eine digitale Version von 'Siegel und Unterschrift', der für jeden negativen Corona-Test in Berlin digital erstellt und mittels eines Barcodes einfach mit Mobilgeräten geprüft werden kann", wie der Mitentwickler Professor Roland Eils gegenüber der Berliner Charité erklärte.

Folgen der Untersuchung

Die IT-Experten schreiben, sie seien "fassungslos, wie fahrlässig hier mit den persönlichen Daten von hunderttausenden Menschen umgegangen wird."

Sie haben den Herstellern und die zuständigen Landesdatenschutzbeauftragten auf den Fehler hingewiesen. Die Landesdatenschutzbeauftragte von Berlin bestätigte gegenüber rbb eine Zahl von mehr als 200.000 Betroffenen. Nach Angaben von "Zerforschung" seien die Lücken schnell geschlossen worden und eine weitere Analyse wurde eingeleitet. Die Betroffenen sollen noch informiert werden.