Name, Adresse, Personalnummer

Personen-Datenklau in Testzentren: Zehntausende Menschen betroffen

Die Meldungen über zahlreiche Sicherheitslücken in Testzentren reißen nicht ab. Immer wieder werden sensible Daten von tausenden Menschen geklaut.

Düsseldorf – 175.000 PDFs mit Buchungsbestätigungen oder Testergebnissen von mehreren zehntausend Menschen: Worauf IT-Aktivisten ohne großen Aufwand zugreifen konnten, überraschte selbst sie. Immer wieder machte die Gruppe „Zerforschung“ in der Vergangenheit die Behörden auf Sicherheitslücken in Corona-Testzentren aufmerksam.

Deutsches Land:Nordrhein-Westfalen
Fläche:34.098 km²
Bevölkerung:17,93 Millionen (2019)
Hauptstadt:Düsseldorf

Nun haben sie bei der Testkette Coronapoint den wahrscheinlich bislang gravierendsten Fall von Fahrlässigkeit entdeckt. Das ergaben Recherchen von WDR und „Süddeutscher Zeitung“. Den Aktivisten gelang es, persönliche Daten zehntausender Menschen, hauptsächlich in Nordrhein-Westfalen, zu entschlüsseln. Dort unterhält die Betreiberfirma der Testkette Coronapoint, PAS Solutions, 35 Standorte.

Sicherheitslücke bei Testzentren „gravierendes Datenschutzproblem“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einem „gravierenden IT-Sicherheits- und Datenschutzproblem“. Gegenüber WDR und „Süddeutscher Zeitung“ (SZ) bestätigte auch das Unternehmen, dass es nach einer Systemumstellung eine zehntägige Sicherheitslücke gegeben habe.

Die Ernsthaftigkeit war uns sehr bewusst.

Ein Sprecher der Testkette Coronapoint

Diese sei nun in Zusammenarbeit mit dem BSI geschlossen worden. „Die Ernsthaftigkeit der Angelegenheit war uns sehr bewusst, sodass wir uns umgehend an die Problembehebung setzten.“

Datenpanne in Testzentren: Aktivisten haben Zugriff auf hochsensible Daten

Besonderes brisant: In den vielen Tausend Datensätzen fanden die ITler Namen, Geburtsdaten, Adressen, Telefonnummern, Passwörter und Testergebnisse – und Personalausweisnummern. Alles, was man für einen möglichen Identitätsdiebstahl braucht, so Experten. „Kriminelle können damit erheblichen finanziellen Schaden für die Betroffenen verursachen. Denkbare Szenarien sind die Eröffnung zahlungspflichtiger Accounts“, so das BSI.

Personalausweisnummern dürfen als Daten bei Coronatest im Regelfall gar nicht erhoben werden* – nur in wenigen speziellen Fällen, etwa wenn diese als Beleg für eine Auslandsreise benötigt werden. Coronapoint tat es trotzdem, wenn auch auf freiwilliger Basis.

IT-Gruppe hackt Test-Daten: Kontrollen schwierig

Eine Stichprobe von WDR und SZ ergab, dass ein Drittel der 200 umsatzstärksten Testzentren in NRW bei der Online-Buchung auch eine Rubrik für die Personalausweisnummer hat. Nur die wenigsten Betreiber weisen darauf hin, dass das freiwillig und keine Pflicht ist. Laut Bundesgesundheitsministerium ein „Verstoß gegen das Gebot der Datenminimierung“.

Allerdings gestalten sich Kontrollen schwierig, den Datenschützern fehlt dafür das Personal. Sie sind auf Hinweise von Aktivisten wie „Zerforschung“ angewiesen. Baden-Württemberg ist das erste Bundesland, das auf externe Kontrollen durch die Dekra setzt, um neben Abrechnungen und Testqualität nun auch die Datensicherheit zu überprüfen.

Nach Datenpanne in NRW: Experte warnt vor „Wertstofflager“ für Kriminelle

Datenschützer sind sich einig, dass mit dem Beginn der Massentests versäumt wurde, unerfahrene Betreiber im Umgang mit sensiblen Daten zu schulen, ihnen klare Standards und Hilfestellungen zu geben. Die Testverordnung aus dem Gesundheitsministerium von Jens Spahn und die Verfügungen aus den Bundesländern hätten das Thema Datenschutz zu wenig behandelt.

Aktivisten haben eine gravierende Sicherheitslücke bei Corona-Testzentren aufgedeckt.

Und die Sicherheitslücken könnten sogar noch wachsen: Datenschützer befürchten, dass in der Zeit nach dem Sommer, wenn viele Firmen das Geschäftsfeld wechseln oder vom Markt verschwinden, sich niemand mehr um die gigantischen Datensätze kümmert. Die Tagesschau spricht von „Hundert Millionen Einzeldateien“, die noch bis Ende 2024 für Abrechnungskontrollen sicher aufbewahrt werden müssen.

Datenschützer fordern klare Standards für Sperrung hochsensibler Daten

Mit dem Ende der Testzentren könnten Millionen hochsensibler Daten auf einem riesigen Friedhof landen. Der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, warnt vor einer „digitalen Sondermülldeponie – aber eigentlich ein Wertstofflager, weil diese Daten für Kriminelle einen enormen Wert haben.“

Daher fordern er und andere Datenschützer klare Standards für die Sperrung der Daten. Man müsse dem offensichtlich überforderten Unternehmen bei der Umsetzung unter die Arme greifen. Das Bundesgesundheitsministerium bietet jedem Hilfe an, der sie brauche. Doch wie WDR und SZ berichten, habe sich das anscheinend noch nicht rumgesprochen. Bisher habe noch kein einziges Unternehmen eine Beratungsanfrage gestellt.

Es ist nicht das erste Mal, dass Corona-Testzentren für negative Schlagzeilen sorgen. Berichten zufolge sollen einige auch mit erfundenen Tests betrogen haben*. Sicherheitslücken gibt es auch im digitalen Impfausweis. Auch dort warnen Experten, dass Betrüger Daten stehlen könnten*. bereiten auch * kreiszeitung.de ist ein Angebot von IPPEN.MEDIA.

Rubriklistenbild: © Bernd Weissbrod

Das könnte Sie auch interessieren

elona ist da. Ihre lokalen Nachrichten.

Was bei einem Kaiserschnitt auf Frauen zukommt

Was bei einem Kaiserschnitt auf Frauen zukommt

Meistgelesene Artikel

Negativ-Rekord: Diese Stadt hat die höchste Inzidenz in Niedersachsen

Negativ-Rekord: Diese Stadt hat die höchste Inzidenz in Niedersachsen

Negativ-Rekord: Diese Stadt hat die höchste Inzidenz in Niedersachsen
Tiny-House-Siedlung in Hannover: So hoch ist die Miete

Tiny-House-Siedlung in Hannover: So hoch ist die Miete

Tiny-House-Siedlung in Hannover: So hoch ist die Miete
Corona-Lockdown ab September? Ministerium empfiehlt Maßnahmen-Verschärfung

Corona-Lockdown ab September? Ministerium empfiehlt Maßnahmen-Verschärfung

Corona-Lockdown ab September? Ministerium empfiehlt Maßnahmen-Verschärfung
Turbo-Baustelle auf der A2: Vollsperrung und Umleitung

Turbo-Baustelle auf der A2: Vollsperrung und Umleitung

Turbo-Baustelle auf der A2: Vollsperrung und Umleitung

Kommentare