Das Unternehmen 21Dx betreibt Testzentren in Berlin, wie hier in Moabit. Tausende Testergebnisse landeten jetzt im Netz. (Symbolbild).

Von Jannis Brühl und Simon Hurtz

Wer das Testzentrum Berlin Süd betritt, macht eine Zeitreise zu blauen Turnhallen und Trillerpfeifen von Sportlehrern. Die vier Teststationen stehen mitten in der Turnhalle der Carl-von-Ossietzky-Gesamtschule in Kreuzberg: grauer Linoleumboden mit bunten Linien, Basketballkörbe an den Wänden. Doch statt schwitzender Teenager erwarten einen freundliche, garantiert steril verpackte Erwachsene mit Masken und Handschuhen.

Auf ein Dutzend Mitarbeiterinnen und Mitarbeiter des Testzentrums kommen an diesem Nachmittag nur drei Besucher, die sich testen lassen wollen. Entsprechend schnell ist alles vorbei: QR-Code scannen, Personalausweis vorlegen, während des Abstrichs den Würgereiz unterdrücken. Drei Minuten später steht man wieder draußen im Nieselregen auf dem Pausenhof der Schule. Nach 17 Minuten kommt eine E-Mail mit dem Ergebnis des Schnelltests an: "Negativer Befund. Es konnte kein Sars-CoV-2-spezifisches Antigen nachgewiesen werden."

Das ist die gute Nachricht. Die schlechte Nachricht: 136 000 dieser Testergebnisse standen wochenlang ungeschützt im Netz. Das haben Fachleute von Zerforschung - einem Kollektiv von IT-Experten - und dem Chaos Computer Club (CCC) herausgefunden. Sie warnten die zuständigen Behörden. Ihre Analyse liegt Süddeutscher Zeitung, Rundfunk Berlin-Brandenburg und dem Wiener Standard vor.

In der Software, die das Berliner Zentrum einsetzt, um Termine zu vergeben und Getesteten digital ihre Ergebnisse zugänglich zu machen, klafften Sicherheitslücken. Es brauchte keine fremden Passwörter, um auf PDF-Dokumente zuzugreifen, auf denen vermerkt waren: Name, Anschrift, E-Mail-Adresse und Telefonnummer des Getesteten, der sekundengenaue Zeitpunkt des Tests - und der Befund des Nasen- oder Rachenabstrichs.

Das Testzentrum Berlin Süd wird wie viele andere Zentren in Deutschland vom Unternehmen 21Dx aus München betrieben. Das Unternehmen bestätigte der SZ die Sicherheitslücke. Der Fehler liege allerdings bei einer Software namens Safeplay von Medicus AI, einem Unternehmen aus Wien. Diese "Covid-19-Plattform" wird von mehr als 150 Testzentren in Deutschland und Österreich genutzt. In jedem Fall von der Lücke betroffen waren Zerforschung und CCC zufolge Einrichtungen in München, Berlin, Mannheim und im österreichischen Klagenfurt. In München handelt es sich um die zentral gelegene Teststation in der Residenz.

Nachdem das Bundesamtes für Sicherheit in der Informationstechnik (BSI) von Zerforschung alarmiert worden war, informierte es Medicus AI. Das österreichische Unternehmen trat wiederum mit den Firmen in Kontakt, die seine Software nutzen. Ein Sprecher des BSI teilte der SZ mit: "Die Schwachstelle konnte in Zusammenarbeit mit dem Unternehmen kurzfristig geschlossen werden. Dem BSI liegen derzeit keine Anhaltspunkte dafür vor, dass die Schwachstelle missbräuchlich ausgenutzt worden ist."

Medicus AI teilte der SZ mit, die Sicherheitslücke sei "durch einen Fehler in einem Update der Software von Mitte Februar" entstanden. Sie sei "nur von einer technisch sehr versierten Person mit den entsprechenden technischen Werkzeugen" theoretisch auszunutzen gewesen. Nach Informationen der SZ brauchte man allerdings keine spezielle Software, um die Schwachstellen auszunutzen. Eine funktionierende E-Mail-Adresse und ein gewöhnlicher Internet-Browser reichten, um auf sensible Informationen vieler Menschen zuzugreifen. Medicus AI erklärte, es habe 5774 Zugriffe auf Ergebnisse gegeben während die Lücke bestand. Das Unternehmen bestritt aber nicht, dass 136 000 Testergebnissen für Unbefugte zugänglich waren.

Gesundheitsdaten gehören laut Datenschutz-Grundverordnung zu den besonders gut zu schützenden persönlichen Daten, sie fallen in dieselbe Kategorie wie etwa ethnische Herkunft, sexuelle Orientierung oder religiöse Überzeugungen.

Die Software von Medicus AI enthielt darüber hinaus noch eine zweite Lücke: Unbefugte konnten sich in einem Portal für Mitarbeiter anmelden. Dort lässt sich über Statistiken nachvollziehen, wie viele positive und negative Befunde es in einem bestimmten Zeitraum gab. Außerdem war es möglich, Fotos der QR-Codes samt Testergebnis abzurufen. Dazu wären aber deutlich größerer Aufwand und Können nötig gewesen - das weit größere Risiko stellten die frei zugänglichen PDF-Dokumente mit den Testergebnissen dar. Beide Sicherheitslücken wurden im Laufe der vergangenen Woche geschlossen.

Bis Ende vergangener Woche konnten die Forscher nach eigenen Angaben sogar die Namen in vielen Konten verändern. So war es möglich, bestehende Testergebnisse mit komplett neuen Daten zu erzeugen und herunterzuladen. Theoretisch hätte sich so jeder Unbefugte einen positiven oder negativen Befund auf seinen Namen ausstellen können. Auch diese Möglichkeit, das System zu missbrauchen, hat Medicus AI mittlerweile entfernt. Ein Mitglied von Zerforschung sagte: "Im Grunde haben die alles an Fehlern einmal mitgenommen. Die Autorisierungsprozesse waren hochgradig mangelhaft." Linus Neumann vom CCC fügte hinzu: "Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT."

Vor genau einem Jahr schrieb ein Mitarbeiter von Medicus AI in einem Blogpost, die Vertraulichkeit von Patientendaten sei seit Jahrhunderten wichtig für die Medizin. Sein Unternehmen werde sicherstellen, dass das auch in Zukunft so bleibe. Für Tausende Menschen, die sich auf Corona testen ließen, galt diese Vertraulichkeit nicht.