Krisenbedingte Digitalisierung
Bargeldloses Bezahlen, digitaler Impfausweis, Homeoffice, Videokonferenzen oder der digitale Gang zur Behörde sind nur einige Themengebiete, die durch die Corona-Krise einen ungeplanten aber deutlich spürbaren Digitalisierungsschub erfahren haben. (bmwi.de)
Die Akzeptanz und Nutzung digitaler Dienste hat, im privaten wie auch bei Unternehmen, zugenommen. (Bitkom e.V.)
Corona Testzentren
Doch überall da, wo in kurzer Zeit bestehende Prozesse oder Verfahrensweisen umgestellt und digitalisiert werden (müssen), können Risiken in der Informationssicherheit entstehen. So kam es im Laufe des Jahres zu vermehrten Pressemeldungen, in denen die von den Betreibern der Testzentren eingesetzte Software grobe und teils triviale Sicherheitslücken aufwiesen und viele Datensätze abfließen konnten.
Im März wurde eine Sicherheitslücke in einem Berliner Testzentrum bekannt, die eine Komplettlösung eines Wiener Startups einsetzt. Diese Lösung wird als Software as a Service eingesetzt und ermöglicht die Registrierung der Testpersonen und das Abrufen der Testergebnisse. Der Abruf der Testergebnisse erfolgte über eine fünfstellige, aufsteigend nummerierte Kennnummer. Üblicherweise verwendet man dafür eine sog. UUID, also einen 128 Bit langen, eindeutigen Wert aus Zahlen und Buchstaben. Verwendete man nun bei der Abfrage des Testergebnisses eine durch Abzug oder Addition veränderte Kennnummer im gleichen Format, konnte man die Ergebnisse von mind. 136.000 Tests abrufen, inklusive personenbezogener Daten, die bei der Registrierung angegeben wurden. Neben klassischen Datenschutzproblemen war es auch möglich die personenbezogenen Daten auf den Testergebnissen im Nachhinein zu verändern. So wäre es möglich, ein negatives Testergebnis für Donald Duck zu erstellen, der ja bekanntlich auch in sehr vielen Restaurants unterwegs war in letzter Zeit. (zerforschung.org)
Kurze Zeit später im April, wurden weitere Sicherheitslücken bekannt. Ein in Dortmund ansässiger Anbieter, vertreibt Webseiten mit WordPress inkl. Plugins für Terminbuchung und Abruf der Testergebnisse. In diesem Fall wurden zwar UUIDs für den Abruf der Ergebnisse verwendet, jedoch konnte über eine nicht deaktivierte Schnittstelle (API) und dem Fehlen einer Begrenzung für die maximale Anzahl von Abfragen innerhalb eines Zeitraums alle jemals erzeugten UUIDs abgerufen werden und dementsprechend auch die Testergebnisse von über 14.000 Tests von 10 Testzentren in verschiedenen Städten wie Hamburg, Berlin, Schwerte, Dortmund oder Leipzig abgegriffen werden. (zerforschung.org)
Bereits im Mai gab es die nächsten Meldungen: Wieder konnten mehr als 80.000 Testergebnisse eingesehen werden. Diesmal waren deutschlandweit Testzentren betroffen, die ihre Testergebnisse via SMS zustellten. Da eine SMS nur 140 Zeichen enthalten kann, wurden die Links zu den Ergebnis-PDFs mittels URL-Shortener gekürzt. Ähnlich wie bei dem Fall im März, immer nach dem gleichen Prinzip: drei Buchstaben plus drei Ziffern (ABC123). Dies ergibt zwar 57 Milliarden Möglichkeiten, ein Computer probiert diese aber mit vertretbarem Aufwand in kürzester Zeit durch und wurde auch 80.000-mal fündig. Wem dieser Aufwand zu hoch erscheint, der sei beruhigt. Ein (eigentlich) geheimer Schlüssel für die Schnittstelle zu einem E-Mail-Provider war im Quellcode der Webseite in Klartext zu finden, da er netterweise auch als solcher betitelt wurde. Mit Hilfe dieses Schlüssels (API-Key), war es möglich alle zusätzlich zur SMS versendeten E-mails abzurufen. Somit konnten auch auf diesem Wege die mehr als 80.000 Testergebnisse abgerufen und obendrein auch noch bequem gefiltert werden. (zerforschung.org)
Kurze Zeit später im Juni, die nächste Meldung: 175.000 PDFs mit Buchungsbestätigungen oder Testergebnissen aus 35 Testzentren öffentlich im Internet abrufbar. Auch hier waren wieder nur die einfach hochgezählten Buchungsnummern nötig, um an die personenbezogenen Daten heranzukommen. Der Speicherort der Testergebnisse war netterweise im Quellcode der Webseite in Klartext hinterlegt. Die Buchungsbestätigungen lagen im Ordner „nebenan“. Die Verschlüsselung der PDFs half leider auch nicht viel, denn die Passwortstärke war viel zu schwach. Ein vier Zeichen langes Passwort, bestehend aus den Ziffern 0-9 und A-F bietet Platz für nur 65.536 Kombinationen. Die hat selbst der älteste Laptop in wenigen Sekunden durchprobiert. (zerforschung.org)
Die beschriebenen Fälle waren Stichproben. Viele weitere Testzentren nutzen diese Software, auch hier und bei weiteren Betreibern bestand die Gefahr, dass personenbezogene Gesundheitsdaten problemlos abgegriffen werden konnten. Immerhin, alle beschriebenen Sicherheitslücken wurden geschlossen. Dennoch muss jeder Digitalisierungsschub, geplant oder ungeplant, immer auch mit Informationssicherheit einhergehen. Viele der Sicherheitslücken waren so trivial und offensichtlich, sie wären bei einer Sicherheitsüberprüfung schnell gefunden worden. Hier wünsche ich mir für die Zukunft mehr Kontrolle und Durchsetzungskraft von den zuständigen Datenschutzbehörden.