Kritische Sicherheitslücken in „Corona-Testzentren“ ermöglichen Zugriff auf hunderttausende Patientendaten

Der ultimative Alptraum von Patienten, Datenschützern und Sicherheitsforschern wurde nun zur blanken Realität. Ich habe kürzlich die Betreiber mehrerer sogenannter „Corona-Testzentren“ über höchst kritische Sicherheitslücken und weitere sicherheitsrelevante Mängel, innerhalb der angebotenen Plattformen informiert. Der Umfang, das Potential und die Gefahr der von mir aufgedeckten Schwachstellen ist gigantisch und stellt eine unmittelbare Bedrohung für sensible Daten von hunderttausenden (!) Patienten dar, die sich in den vergangen Monaten bei den jeweiligen Corona-Teststationen testen ließen.

Betroffen sind mehrere Systeme zur Online-Buchung der Corona-Tests, sowie zur Verwaltung der Termine, diverse Stammdaten, Teststationen, Sonderbuchungen, Labors, Patientendaten und mehr. Neben den Buchungs-Plattformen für Patienten, ist auch eine zentrale Haupt-Plattformen – auf der offenbar sämtliche Daten aus allen Zweigstellen gehortet und verwaltet werden – von schwerwiegenden Sicherheitslücken betroffen, welche einem Angreifer den uneingeschränkten Zugriff auf Millionen Datensätze ermöglicht hätten. Neben den jeweiligen Patientendaten, wurden auch deren zugehörige Sicherheitstoken, E-Mail-Adressen und sogar Handynummern, in den gleichen Systemen hinterlegt, was theoretisch auch zur Manipulation bei den Buchungen geeignet gewesen wäre. Zudem dürften die betroffenen Daten auch dazu geeignet sein, die jeweiligen Befunde der Patienten, über die zugehörigen Dienste von Drittanbietern (die übrigens ebenso von Schwachstellen betroffen sind) abzurufen.

Corona-Testzentren – Katastrophale Zustände in Sachen Sicherheit

Zusätzlich zum bereits umfangreichen Alptraum, befinden sich in den Plattformen auch weitere Schwachstellen, die das Einschleusen von Schadcode, sowie die potentielle Verbreitung von Malware und diverse weitere Angriffstechniken ermöglichen. Um das Ganze mit den passenden Worten eines bayerischen Hackers zu beschreiben – „so a richtig’s Schmankerl!“.

Von der Problematik betroffen sind Plattformen (und damit die Patienten) von Corona-Testzentren der jeweiligen Landratsämter im Raum Freising, Dingolfing, Garching, Bad Tölz – Wolfratshausen, Höhenkirchen – Siegertsbrunn, Starnberg, Unterhaching, Grünwald, sowie das Corona-Testzentrum im „Munich Airport Center“ am Flughafen München und das Corona-Testzentrum der Landeshauptstadt München. Die oben genutzte Bezeichnung „gigantisch“ – in Bezug auf den Umfang der aufgedeckten Sicherheitsmängel und die betroffene Masse an Daten – dürfte sich mit dieser Information (denke ich) selbst erklären. Sie dürfen sich das gerne kurz bewusst werden lassen.

Begründete Bauchschmerzen beim Thema „Digitalisierung“

Noch vor wenigen Wochen schrieb ich in einem früheren Artikel über meine Bedenken und „Bauchschmerzen“ beim Thema Digitalisierung. Insbesondere ging ich dabei auf die möglichen Gefahren für Patientendaten ein, welche bei unzureichender Absicherung entsprechender Systeme herrschen könnten. Meine Bedenken waren und sind offensichtlich begründet. Und es ist schon irgendwie ein komisches Gefühl, dass ausgerechnet ich selbst nun auf die Sicherheitslücken gestoßen bin und die Betreiber darüber informieren durfte.

Dieses Beispiel ist in meinen Augen ein Beweis dafür, dass das Thema Digitalisierung – insbesondere in medizinischen Bereichen – reine Zukunftsmusik ist und diese Regierung schlichtweg nichts von diesen Dingen versteht. Insbesondere der liebe Herr Markus Söder – also unser Leithammel mit seiner ultimativen „High-Tech Agenda“ für Bayern – sollte sich angesichts dieser peinlichen Darbietung von ungewolltem „Big-Open-Data“, seine Gedanken in Sachen Digitalisierung machen. Dass die jeweiligen Plattformen vor ihrer Veröffentlichung, auf mögliche Sicherheitsmängel überprüft wurden, kann ich mir ehrlich gesagt auch nicht vorstellen. Zumindest machte es nicht den Eindruck.

Insbesondere was die aktuelle „Testpflicht“ betrifft, muss ich ehrlich gesagt auch ein wenig schmunzeln. Immerhin werden dadurch Bürger – unter Androhung von Strafen – gezwungen, sich testen zu lassen und deren sensible Patientendaten landen dann womöglich ebenso im großen Datensumpf, der – wie wir nun wissen – alles andere als sicher ist.

In diesem Sinne…

Frohe Weihnachten!

Update: 18.01.2021:

In der Zwischenzeit habe ich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bzw. das Cyber Emergency Response Team (CERT) über die Sicherheitslage der Corona-Testzentren informiert. Dabei hatte ich auch vorgeschlagen, eine öffentliche Sicherheitsmeldung durch das Bürger-CERT herauszugeben, die zur Sensibilisierung von Betreibern, Entwicklern und Nutzern derartiger Plattformen dienen würde. Aktuell ist man dort intern damit beschäftigt, die Möglichkeiten und Vorgehensweisen diesbezüglich zu besprechen.

Testzahlen und Ergebnisse der Corona-Testzentren manipulierbar

Da ich von mehreren Stellen gefragt wurde, ob denn auch die Statistiken der jeweiligen Teststationen oder Testzentren manipulierbar waren/sind und sich durch die Sicherheitslücken auch die Testzahlen bzw. die Ergebnisse angreifbar waren, möchte ich diese Frage direkt öffentlich beantworten. Ja! Der Umfang der Sicherheitslücken würde ermöglichen, sämtliche Datensätze und Dateien im System zu ändern. Demnach besteht auch die Möglichkeit, dass entsprechende Testergebnisse durch ein Ausnutzen der Sicherheitslücken manipulierbar waren/sind.