''Testzentrum'' steht auf einem Schild. | dpa
Exklusiv

Daten waren unzulänglich geschützt Weitere Sicherheitslücke bei Testzentren

Stand: 22.06.2021 17:00 Uhr

Immer wieder werden persönliche Daten in Corona-Testzentren nur unzulänglich geschützt. Eine neue gravierende Sicherheitslücke konnte nach Recherchen von WDR und SZ geschlossen werden. Datenschützer schlagen Alarm.

Von Arnd Henze, Christian Basl und Karin König, WDR

Für die ehrenamtlichen Aktivisten von "Zerforschung" schien es zunächst ein Fall wie viele andere zu sein: In den zurückliegenden Wochen hatten sie immer wieder Sicherheitslücken bei den Anbietern von Testzentren gefunden und an die Behörden gemeldet. Doch als sie mit vergleichsweise geringem Aufwand den Zugang zu Buchungs- und Testbestätigungen der Testkette Coronapoint entschlüsselt hatten, war schnell klar: Hier geht es um die möglicherweise gravierendste der bisher bekannten Sicherheitslücken auf dem boomenden Markt der Testzentren.

Rund 175.000 PDFs mit Buchungsbestätigungen oder Testergebnissen konnten die IT-Aktivisten abrufen, betroffen waren mehrere zehntausend Menschen vor allem in Nordrhein-Westfalen, wo der Betreiber von Coronapoint, die Firma PAS Solutions, 35 Standorte betreibt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte auf Anfrage, es handle sich um ein "gravierendes IT-Sicherheits- und Datenschutzproblem".

Gegenüber WDR und "Süddeutscher Zeitung" (SZ) bestätigte auch das Unternehmen, dass es nach einer Systemumstellung eine zehntägige Sicherheitslücke gegeben habe, die in enger Kooperation mit dem BSI geschlossen worden sei. "Die Ernsthaftigkeit der Angelegenheit war uns sehr bewusst, sodass wir uns umgehend an die Problembehebung setzten."

Auch Ausweisnummern enthalten

Was den Fall Coronapoint so heikel macht: Die vielen Tausend Datensätze enthalten nicht nur Namen, Geburtsdaten, Adressen, Telefonnummern, Passwörter und Testergebnisse - sondern in vielen Fällen auch die Personalausweisnummern von Kunden.

Experten sind sich einig: Wer auf Daten inklusive Passnummern Zugriff bekommt, findet alles, was er für einen möglichen Identitätsdiebstahl braucht. "Kriminelle können damit erheblichen finanziellen Schaden für die Betroffenen verursachen. Denkbare Szenarien sind die Eröffnung zahlungspflichtiger Accounts", antwortet das BSI auf Anfrage. Der Datenschutzbeauftrage von Baden-Württemberg, Stefan Brink, verweist darauf, dass man mit den Angaben nicht nur Kredite aufnehmen und Onlinegeschäfte abschließen könne, sondern sich damit auch gegenüber Behörden leicht als jemand anderen ausgeben könne.

Auch Coronapoint fragt bei der Testbuchung weiter nach der Personalausweisnummer - wenn auch nur als freiwillige und nicht als Pflichtangabe. Nach der Datenschutz-Grundverordnung dürfen grundsätzlich nur Daten erhoben werden, die auch unverzichtbar sind. Bei den kostenlosen Coronatests gilt das für die Passnummer nur in wenigen speziellen Fällen, etwa wenn diese als Beleg für eine Auslandsreise benötigt werden.

Für Kontrollen fehlen die Kapazitäten

Trotzdem ergab eine Stichprobe von WDR und SZ unter den 200 umsatzstärksten Testzentren in NRW, dass rund jedes dritte Zentrum bei der Online-Buchung auch eine Rubrik für die Personalausweisnummer hat. Nur wenige Betreiber weisen ausdrücklich darauf hin, dass diese Angabe kein Pflichtfeld, sondern nur freiwillig und in den meisten Fällen sogar unnötig ist. Wo das aber nicht geschieht, liege ein "Verstoß gegen das Gebot der Datenminimierung vor", sagt das Bundesgesundheitsministerium auf Anfrage.

Für gezielte Kontrollen fehlen den Datenschützern jedoch die personellen Kapazitäten. Umso mehr sind sie auf Hinweise von Aktivisten wie "Zerforschung" angewiesen. Als erstes Bundesland setzt nun Baden-Württemberg auf externe Kontrollen durch die Dekra, bei denen neben Abrechnungen und Testqualität auch Datensicherheit mit überwacht werden soll.

Zu wenig Datenschutz in Testverordnung

Einig sind sich die Datenschützer, dass es schon zu Beginn der Massentests versäumt wurde, den im Umgang mit sensiblen Daten oft unerfahrenen Betreibern klare Standards und Hilfestellungen an die Hand zu geben. Die Testverordnung aus dem Gesundheitsministerium von Jens Spahn thematisiere den Datenschutz zu wenig ebenso wie die Verfügungen aus den Bundesländern.

"Es wäre wünschenswert gewesen, wenn seitens des Verordnungsgebers durch eindeutige und unmissverständliche Vorgaben (…) Klarheit geschaffen worden wäre", kritisiert die saarländische Beauftragte Monika Grethel, die derzeit auch den Vorsitz der Konferenz der Datenschützer der 16 Bundesländer führt.

Dabei hätte es schon sehr geholfen, wenn die Betreiber verpflichtet gewesen wären, mit dem Genehmigungsantrag an die Gesundheitsämter auch ein plausibles Konzept zur Datensicherung vorzulegen, beklagt der Stuttgarter Kollege Brink. Dann hätte man wenigstens eine Übersicht über die vielen Tausend Anbieter auf dem Markt und könnte gezielt Stichproben vornehmen.

Größte Risiken kommen erst noch

So groß die Probleme schon jetzt sind: Die größten Risiken sehen die Datenschützer für die Zeit nach dem Sommer, wenn vermutlich Tausende von Firmen wieder das Geschäftsfeld wechseln oder ganz vom Markt verschwinden - und sich bei den vielen Unternehmen dann niemand mehr für die gigantischen Datensätze zuständig fühlt. Insgesamt geht es dabei um mehrere Hundert Millionen Einzeldateien, die nach der Verordnung bis Ende 2024 für Abrechnungskontrollen sicher aufbewahrt werden müssen.

Aus abgewickelten Testzentren könnten aber viele Millionen hochsensibler Daten auf einem riesigen Friedhof landen, warnt Brink: "Eine digitale Sondermülldeponie - aber eigentlich ein Wertstofflager, weil diese Daten für Kriminelle einen enormen Wert haben."

Die Datenschützer drängen auf klare Standards für die Sperrung der Daten. Vor allem bräuchten die vielen offensichtlich überforderten Unternehmen auch die nötige Hilfestellung bei der Umsetzung. Das Bundesgesundheitsministerium schreibt, wer Unterstützung brauche, könne sich mit Fragen jederzeit an das BSI wenden. Rumgesprochen scheint sich das noch nicht zu haben. Bisher habe noch kein einziges Unternehmen eine Beratungsanfrage gestellt, teilt die Fachbehörde mit.

Über dieses Thema berichtete die tagesschau am 22. Juni 2021 um 17:00 Uhr.