Sicherheitslücken

Persönliche Daten von Tausenden in Gefahr: Leck bei Corona-Tests ermöglicht Hackern Zugriff

Persönliche Daten von Tausenden, die sich auf Corona haben testen lassen, waren online einfach so einsehbar. Auch Testzentren in NRW sind von dem Datenleck betroffen.

Hamm - Wegen eines Datenlecks sind die Testergebnisse von Corona-Testzentren sowie personenbezogene Daten von Tausenden auf Corona getesteten Menschen ins Netz gelangt. Auch Hackern wurde problemlos ein Zugang zu diesen Daten gewährt. Dazu zählen auch Daten von Menschen aus Nordrhein-Westfalen. Wer genau betroffen ist und was die Folgen sind. (News zum Coronavirus)

FirmaEventus Media International
SitzDortmund
Anzahl Corona-Testzentren neun in Deutschland, drei in NRW

Corona-Testzentren in Dortmund und Schwerte: Datenleck ermöglicht Hackern Zugriff auf Adresse

Einem Bericht von tagesschau.de zufolge wurden die Wohn- und Mailadressen, Telefonnummern, Geburtsdaten sowie Testergebnisse von tausenden Menschen im Internet so dargestellt, dass sie auch für Unbefugte und Hacker dort problemlos abrufbar waren. Betroffen sind diejenigen, die sich Ende März und Anfang April in Corona-Testzentren der Firma Eventus Media International (EMI) auf das Coronavirus haben untersuchen lassen.

In Deutschland betreibt das Unternehmen neun Einrichtungen, auch Nordrhein-Westfalen ist dreimal vertreten. In den Städten Dortmund (2) und Schwerte (1) gibt es Testzentren von Eventus Media International. Die Anmeldung für die Tests erfolgt über die Webseite testcenter-corona.de. Wer sich erinnert, kürzlich über diese Internetseite eine Anmeldung für einen Corona-Test ausgefüllt zu haben, der ist mutmaßlich von dem geschilderten Problem betroffen.

Betroffene können zudem damit rechnen, in Kürze vom Unternehmen Eventus Media International persönlich informiert zu werden. Die Firma kündigte an, in den nächsten Tagen die betroffenen Kunden einzeln anzuschreiben und sie über den Vorfall zu unterrichten. Zugleich bat das Unternehmen mit Sitz in Dortmund um Entschuldigung, dass Hacker Zugriff auf die Daten bekommen hätten. Eventus Media International wies darauf hin, dass die Corona-Testzentren und auch ihre Datenverarbeitungssysteme „mit großer Eile“ hochgezogen wurden, ohne damit das Datenleck rechtfertigen zu wollen.

Corona-Testzentren in Dortmund: Datenleck bei Eventus Media International kommt durch Hacker-Gruppe ans Licht

Tatsächlich ist das Problem überhaupt erst durch eine Hacker-Gruppe ans Licht gekommen. Entdeckt wurde die Schwachstelle demnach durch das IT-Kollektiv „Zerforschung“. Ein Mitglied der Gruppe hatte sich selbst bei in einem der betroffenen Testzentren auf Corona testen lassen und in diesem Zusammenhang das System zur Abfrage des eigenen Testergebnisses genauer untersucht. Dabei stellte er fest, dass die Website technisch ungenügend gesichert war. Nachdem die Hacker Hinweise an das Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelten, wurde die Sicherheitslücke vom Anbieter Eventus Media International aus Dortmund kurzfristig geschlossen.

Bis dahin konnten - nach Angaben von „Zerforschung“ - jedoch bundesweit mindestens 17.000 Registrierungen für Corona-Testtermine eingesehen werden. Außerdem befanden sich personenbezogene Daten von rund 7.000 EMI-Kunden ungeschützt im Internet, darunter auch die Adressdaten der Betroffenen.

Datenleck in Corona-Testzentren in NRW: BSI rät Betroffenen Kontaktaufnahme mit Datenschutzbehörde

Der Präsident des BSI, Arne Schönbohm, sprach gegenüber tagesschau.de von einer „gravierenden“ Sicherheitslücke beim Dortmunder Anbieter, da diese nach ersten Erkenntnissen sehr leicht auszunutzen gewesen sei und es zugleich um höchst persönliche Daten gehe. Das BSI rät Betroffenen von Datenlecks, mit der zuständigen Datenschutzbehörde Kontakt aufzunehmen. 

Grundsätzlich sind Datenlecks in Corona-Testzentren keine Seltenheit. Erst im März war zum Beispiel bekannt geworden, dass bei einem Berliner Testanbieter rund 136.000 Datensätze ohne jede Zugangsbeschränkung im Netz einsehbar waren. Hier waren von Betroffenen Testergebnis, Name, Anschrift, Handynummer, E-Mail-Adresse und Geburtsdatum sowie Geschlecht und Staatsbürgerschaft abrufbar.

Während die Datenlecks diverser Testzentren-Betreiber nicht gerade für die öffentlich durchgeführten Corona-Schnelltests werben, wird eine mögliche Testpflicht in Unternehmen, also auf der Arbeit, heiß diskutiert. Doch kann der Arbeitgeber seine Mitarbeiter zu einem Corona-Schnelltest zwingen? Es handelt sich um eine hochgradig juristische Frage.

Rubriklistenbild: © dpa/Scheurer/Bein

Das könnte Sie auch interessieren

Kommentare

Unsere Kommentarfunktion wird über den Anbieter DISQUS gesteuert.

Hinweise zum Kommentieren: Auf wa.de können Sie Ihre Meinung zu einem Artikel äußern. Im Interesse aller Nutzer behält sich die Redaktion vor, Beiträge zu prüfen und gegebenenfalls abzulehnen. Halten Sie sich beim Kommentieren bitte an unsere Richtlinien: Bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht. Bitte halten Sie sich bei Ihren Beiträgen an das Thema des Artikels. Lesen Sie hier unsere kompletten Nutzungsbedingungen.


Bitte beachten Sie: Die Kommentarfunktion unter einem Artikel wird automatisch nach drei Tagen geschlossen.

Netiquette
Hinweis: Kommentieren Sie fair und sachlich! Rassistische, pornografische, menschenverachtende, beleidigende oder gegen die guten Sitten verstoßende Äußerungen sind verboten und werden gelöscht.

Kommentare