Sicherheitslücke in Software machte Corona-Befunde abrufbar - Münchner Testzentren-Betreiber unter Druck

Durch eine Sicherheitslücke in der Software "Safeplay" konnten Unbefugte auf Befunde von Corona-Tests zugreifen. Die betroffenen Personen hatten sich in einem Berliner Testzentrum des Münchner Betreibers 21Dx testen lassen, der die betroffene Software anwendet.
| AZ/dpa
X
Sie haben den Artikel der Merkliste hinzugefügt.
zur Merkliste
Merken
0  Kommentare Artikel empfehlen
Testsets mit Abstrichstäbchen liegen in einem Testzentrum bereit. (Symbolbild)
Testsets mit Abstrichstäbchen liegen in einem Testzentrum bereit. (Symbolbild) © Jens Büttner/dpa-Zentralbild/dpa/Symbolbild

München/Berlin - Durch eine Sicherheitslücke konnten Unbefugte auf Befunde von Corona-Tests zugreifen. Der Chaos Computer Club (CCC) geht davon aus, dass 136.000 Ergebnisse von mehr als 80.000 Betroffenen sowie persönliche Daten frei einsehbar waren, wie er am Donnerstag mitteilte. Aufgefallen war die Sicherheitslücke Mitgliedern der Gruppe "Zerforschung" nach dem Besuch in einem Berliner Testzentrum. Zuvor hatten unter anderem die "Süddeutsche Zeitung" der rbb und "Der Standard" darüber berichtet.

"Befunde anderer Nutzer konnten abgerufen werden"

Betroffen war laut CCC eine vom österreichischen Unternehmen Medicus AI zur Verfügung gestellte Software namens Safeplay für Testzentren, die von mehreren Betreibern eingesetzt wird. Die Organisation informierte daraufhin das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Medicus AI erklärte, man sei am 11. März vom BSI über die Sicherheitslücke informiert worden. Diese habe ermöglicht, "dass eingeloggte Nutzer mit IT-Kenntnissen die Befunde anderer Nutzer abrufen konnten". Dem Unternehmen zufolge wurde die Lücke allerdings nur bei sechs Personen ausgenutzt und binnen Stunden geschlossen. Man bedauere den Vorfall sehr.

Lesen Sie auch

Lesen Sie auch

Die betroffenen Personen hatten sich beim Testzentrum-Betreiber 21Dx testen lassen, der in München sitzt und Kunde bei Medicus AI ist. Dieser bestätigte, die betroffene Software "an vielen mobilen und stationären Covid-Teststellen im gesamten Bundesgebiet" zu nutzen. Die betroffenen Nutzer seien direkt informiert worden.

Der CCC meldete daran allerdings Zweifel an: "Für Testergebnisse von Freundinnen, auf die wir mit deren Erlaubnis unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten", heißt es in seiner Mitteilung.

Wie schwerwiegend war die Sicherheitslücke?

Das Bayerische Landesamt für Datenschutzaufsicht erklärte, man kläre noch, wie schwerwiegend die Sicherheitslücke gewesen sei. "Im Mittelpunkt steht die Frage, in welchem Umfang die IT-Lücke tatsächlich für missbräuchliche Zugriffe ausgenutzt wurde", sagte Präsident Michael Will. Leider kämen solche Sicherheitsvorfälle häufiger vor. Das erste Augenmerk richte sich dann immer darauf, ob die Schwachstelle behoben wurde. "Dies scheint im vorliegenden Sachverhalt der Fall zu sein."

Die Berliner Senatsverwaltung für Gesundheit, Pflege und Gleichstellung forderte 21Dx auf, "unverzüglich eine umfassende, externe Auditierung ihrer IT-Lösungen vorzunehmen".

© dpa-infocom, dpa:210318-99-876611/2

Lädt
Anmelden oder registrieren

Zum Login
Zu meinen Themen hinzufügen

Hinzufügen
Sie haben bereits von 15 Themen gewählt

Bearbeiten
Sie verfolgen dieses Thema bereits

Entfernen
Um "Meine AZ" nutzen zu können, müssen Sie der Datenspeicherung zustimmen.

Zustimmen
Teilen 0  Kommentare – hier diskutieren Artikel empfehlen
0 Kommentare
Artikel kommentieren