Auf sueddeutsche.de ist am 18.3. zu lesen:
»Wer das Testzentrum Berlin Süd betritt, macht eine Zeitreise zu blauen Turnmatten und Trillerpfeifen von Sportlehrern. Die vier Teststationen stehen mitten in der Turnhalle der Carl-von-Ossietzky-Gemeinschaftsschule in Kreuzberg: grauer Linoleumboden mit bunten Linien, Basketballkörbe an den Wänden. Doch statt schwitzender Teenager erwarten einen freundliche, garantiert steril verpackte Erwachsene mit Masken und Handschuhen.
Auf ein Dutzend Mitarbeiterinnen und Mitarbeiter des Testzentrums kommen an diesem Nachmittag nur drei Besucher, die sich testen lassen wollen. Entsprechend schnell ist alles vorbei: QR-Code scannen, Personalausweis vorlegen, während des Abstrichs den Würgereiz unterdrücken. Drei Minuten später steht man wieder draußen im Nieselregen auf dem Pausenhof der Schule. Nach 17 Minuten kommt eine E‑Mail mit dem Ergebnis des Schnelltests an: "Negativer Befund. Es konnte kein Sars-CoV-2-spezifisches Antigen nachgewiesen werden."
Das ist die gute Nachricht. Die schlechte Nachricht: 136 000 dieser Testergebnisse standen wochenlang ungeschützt im Netz. Das haben Fachleute von Zerforschung – einem Kollektiv von IT-Experten – und dem Chaos Computer Club (CCC) herausgefunden. Sie warnten die zuständigen Behörden…«
Beim CCC ist zu erfahren:
»Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis: Aufgrund einer Sicherheitslücke waren sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt über das Internet abrufbar. Betroffen sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen…
Das Wiener Unternehmen medicus.ai stellt unter dem Namen safeplay eine "Rundum-Sorglos-Website" für Testzentren zur Verfügung: Von der Terminbuchung bis zum Online-Testzertifikat ist an alles gedacht – außer an angemessene IT-Sicherheit: Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogenen Daten anderer Nutzerinnen einsehen.
Sicherheitsforscherinnen der Chaosgruppe Zerforschung haben die Schwachstelle nach einem Besuch im einem Berliner Testzentrum der Betreiberin 21dx entdeckt. Das Unternehmen bezeichnet sich als "größter Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobiler Impfteams im Kampf gegen die Pandemie."
Die Software safeplay von medicus.ai kommt aber nicht nur in Berlin zum Einsatz. Betroffen sind über 136.000 Testergebnisse von mehr als 80.000 Kundinnen bei über 100 Testzentren und mobilen Test-Teams. Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas…
Auch Statistiken der Testzentren sekundengenau einsehbar
Doch damit nicht genug: Über ein ebenfalls mit jedem Account ungehindert zugängliches Dashboard konnte auch sekundengenau für jedes Testzentrum eingesehen werden, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Photos waren auch wiederum die Namen der Patientinnen vermerkt.
Zugriff blieb unbemerkt
Laut eigener Aussage hat das verantwortliche Unternehmen medicus.ai die Schwachstellen als Reaktion auf unsere Meldung inzwischen behoben. Zum jetzigen Zeitpunkt ist unklar, ob die Schwachstellen ggf. von anderen früher entdeckt wurden und wie viele Daten auf diese Weise in fremde Hände gelangt sind. Die Zusicherungen des betroffenen Unternehmens medicus.ai, es habe kein unberechtigter Zugriff stattgefunden, lassen sich nicht unabhängig prüfen. Weiterhin behauptet medicus.ai, betroffene Nutzerinnen informiert zu haben. Für Testergebnisse von Freundinnen, auf die wir mit deren Erlaubnis unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten…
Unverantwortliche Fahrlässigkeit
"Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden", sagte Karl aus dem Team Zerforschung.
"Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT", sagte Linus Neumann vom Chaos Computer Club. Schon im vergangenen Jahr haben Mitglieder des CCC immer wieder eklatante Schwachstellen in Corona-Systemen gemeldet. "Wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt.", so Neumann weiter…«
ORF 2: 102.1 >>
Topstory Chronik
"Cybercrime" stark gestiegen
Die Corona-Pandemie hat die Krimina-
lität im Vorjahr stark sinken lassen.
Laut Kriminalitätsstatistik wurden
433.800 Delikte verzeichnet, 11,3 %
weniger als 2019.
Einen starken Rück-
gang gab es bei der "klassischen Kri-
minalität" wie Einbruchsdiebstählen.
Explodiert sind hingegen die Delikte
im Bereich "Cybercrime". Hier gab
es 36.000 Anzeigen, ein Anstieg
von über 26 %. Betroffen waren vor
allem Online-Betrug, Cyberattacken
und online Kindesmissbrauch.
https://text.orf.at/channel/orf2/page/102/1.html
Deshalb lautet die Devise – mehr vom Gefährlichen – das dann natürlich noch stärker überwacht werden muss!
Ist im Grunde genommen doch egal!
Wenn demnächst die elektronische Patientenakte gehackt wird, ist das Ende der ärztlichen Schweigepflicht und der Privatsphäre eingeläutet.
Ihr hattet die Wahl gehabt…
Für Interessierte:
https://www.aerzteblatt.de/nachrichten/117742/Vertrauliche-Psychotherapiedaten-in-Finnland-gehackt