Gegen den privaten Schnelltestanbieter Medican, der bereits wegen undurchsichtiger Abrechnungspraktiken in die Kritik geraten war, gibt es neue Vorwürfe. So hat das Unternehmen die privaten Daten der Getesteten offenbar nicht ausreichend gesichert. Zerforschung, eine Gruppe von IT-Experten, hat die Süddeutsche Zeitung und den Westdeutschen Rundfunk auf Lücken in der Datensicherheit des Unternehmens aufmerksam gemacht. Demzufolge konnten Zehntausende Schnelltestregistrierungen von Unbefugten eingesehen werden. Mittlerweile sind die Informationen nicht mehr abrufbar. Die Analysen von Zerforschung liegen dem WDR, der SZ und den zuständigen Behörden vor.
Dabei wirkte das System von Medican auf den ersten Blick sicher: Zwar war für das Login kein Passwort notwendig, Getestete mussten aber ihre Personalausweisnummer kennen, um zu ihrem Profil und ihren Ergebnissen weitergeleitet zu werden. Wer jedoch erkannte, nach welchem System die Links zu den Webseiten aufgebaut waren, konnte ohne Ausweisnummer eine Datei mit den persönlichen Daten der Getesteten abrufen. Sichtbar waren so Vornamen, Nachnamen, Geburtsdaten und E-Mail-Adressen.
Zwei Wege, die zu den Registrierungsdaten führen, sind Zerforschung zufolge besonders problematisch: Zum einen war ein Programm in einigen Fällen in der Lage, eine von zwei persönlichen Identifikationsnummern zu erraten, weil diese vergleichsweise kurz und simpel aufgebaut waren. Die andere Identifikationsnummer bestand lediglich aus dem kodierten Registrierungszeitpunkt eines Getesteten. Anders gesagt: Wer auf die Sekunde genau den Registrierungszeitpunkt einer Person erriet, konnte weitere Daten einsehen. Zerforschung gelang dies bei mehr als jedem zehnten Versuch. Wie viele Personen von der Lücke betroffen waren, ist unklar. Von Zehntausenden Fällen ist auszugehen.
Medican hat in der Zwischenzeit auch das letzte der über 50 Testzentren geschlossen, Verantwortliche wurden festgenommen, online ist das Unternehmen ebenfalls nicht mehr erreichbar. Reinhard Peters, der Verteidiger eines der beiden Beschuldigten im Fall Medican, bestätigte die Datenlücke auf Anfrage der SZ: "Darum ist die Webseite ja auch abgeschaltet worden." Auch rückwirkend dürfte damit kein Zugriff auf Registrierungsdaten mehr möglich sein.
Medican ist nur eine von vielen Datenschutzpannen
Zerforschung hatte die Sicherheitslücke an die Datenschutzbehörde in Nordrhein-Westfalen und an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Die Behörde hat den Betreiber aufgefordert, die Sicherheitslücke zu beheben, wie ein BSI-Sprecher bestätigte. Über Hinweise auf Missbrauch der Daten ist dem BSI bislang nichts bekannt.
Der Fall Medican ist nur einer von zahlreichen Datenschutzpannen durch mangelhafte IT-Infrastruktur bei Schnelltestanbietern. Zerforschung hatte bereits Sicherheitslücken bei der Software Medicus AI und zwei weiteren Testanbietern publik gemacht. Dass im Rahmen der Pandemie oftmals Web-Anwendungen ohne grundlegende Sicherheitsmaßnahmen online gegangen sind, kritisiert auch BSI-Sprecher Joachim Wagner: "In den Fällen, die uns bekannt sind, waren die Sicherheitslücken trivial auszunutzen, wären aber auch trivial zu vermeiden gewesen."
Anbieter von Schnelltests stehen in einer besonderen Verantwortung, Daten zu sichern: Zwar konnten im Fall von Medican nur Registrierungen für Covid-Tests abgerufen werden, Medican und andere Anbieter sind aber auch für die Sicherung medizinischer Daten verantwortlich. Laut Datenschutz-Grundverordnung sind diese besonders schutzbedürftig. Sowohl das BSI als auch einige Landesbehörden für Datenschutz informieren deshalb über Mindestanforderungen an die Datensicherung von Testzentren. So dürfte der Zugang zu Daten der Behörde aus Baden-Württemberg zufolge nicht - wie in diesem Fall - "einfach erratbar sein". Auch sollten Systeme professionelle Sicherheits-Prüfungen durchlaufen. Dass das bei Medican der Fall war, bezweifeln die Mitglieder von Zerforschung: "Solche Fehler würden sonst innerhalb kürzester Zeit gefunden werden."
