Pabst Data (14.12.2021) –
Für Corona-Testzentren wurde eine Online-Plattform eingerichtet. Bei der Programmierung der Plattform wurden jedoch wichtige Grundsätze der IT-Sicherheit völlig außer Acht gelassen. Testergebnisse und andere sensible Daten konnten deshalb von sämtlichen Nutzern eingesehen werden.
Der einfache Zugriff
Ein Wiener Start-up hat mehreren Testzentren in Deutschland und Österreich Webseiten zur Verfügung gestellt. Über diese Webseiten sollten Patienten Termine buchen und die Corona-Zertifikate abrufen können. Die Software, die das Start-up für die Plattformen genutzt hat, heißt Safeplay. Doch mit der Sicherheit der Software gab es einige Probleme. Durch eine Sicherheitslücke konnten Hacker an sensible Daten der Software herankommen. Wer sich nun als Nutzer auf der Plattform angemeldet hatte, der konnte sein persönliches Testergebnis und das Ergebnis von anderen Patienten einsehen. Die URL mit dem Testergebnis erhielt nämlich eine fortlaufende Nummerierung. Hat man die Nummer der URL einfach in eine andere geändert, konnte man die Ergebnisse von anderen Patienten einsehen. Nicht nur das Testergebnis konnte man einsehen, auch Daten wie Name, Adresse, Geburtsdatum, Staatsbürgerschaft und Ausweisnummer konnten leicht herausgefunden werden. Um solche Sicherheitslücken zu vermeiden und einen fahrlässigen Umgang mit persönlichen Daten zu verhindern, sollte man sich einen Datenschutzbeauftragten wie Pabst Data ins Team holen.
Die Zahl der Betroffenen ist hoch
Die Anzahl der zugänglichen Testergebnisse soll bei über 100.000 gelegen haben. Darunter seien die Testergebnisse aus über 100 Testzentren wie München, Berlin und Kärnten. Das Start-up ist sich sicher, dass die Sicherheitslücke durch ein Update in die Software gelangt sein musste. Nach Angaben des Unternehmens bestand zudem keine Gefahr eines massenhaften Abflusses von Daten. Das wird jedoch noch von der Aufsichtsbehörde geprüft. Fakt ist, dass es sich bei den Daten um besonders sensible Informationen handelte. Bei einer unberechtigten Offenlegung solcher Daten handelt es sich um einen meldepflichtigen Datenschutzvorfall, der eine Benachrichtigung aller betroffenen Personen mit sich bringen sollte.
Pabst Media GmbH,
Rüdiger Pabst
Leave a Reply