Corona und die Risiken der Informationssicherheit am Beispiel von Corona Testzentren

Bargeldloses Bezahlen, digitaler Impfausweis, Homeoffice, Videokonferenzen oder der digitale Gang zur Behörde sind nur einige Themengebiete, die durch die Corona-Krise einen ungeplanten aber deutlich spürbaren Digitalisierungsschub erfahren haben. Doch überall da, wo in kurzer Zeit bestehende Prozesse oder Verfahrensweisen umgestellt und digitalisiert werden (müssen), können Risiken in der Informationssicherheit entstehen.

Krisenbedingte Digitalisierung

Bargeldloses Bezahlen, digitaler Impfausweis, Homeoffice, Videokonferenzen oder der digitale Gang zur Behörde sind nur einige Themengebiete, die durch die Corona-Krise einen ungeplanten aber deutlich spürbaren Digitalisierungsschub erfahren haben. (bmwi.de)

Die Akzeptanz und Nutzung digitaler Dienste hat, im privaten wie auch bei Unternehmen, zugenommen. (Bitkom e.V.)

Corona Testzentren

Doch überall da, wo in kurzer Zeit bestehende Prozesse oder Verfahrensweisen umgestellt und digitalisiert werden (müssen), können Risiken in der Informationssicherheit entstehen. So kam es im Laufe des Jahres zu vermehrten Pressemeldungen, in denen die von den Betreibern der Testzentren eingesetzte Software grobe und teils triviale Sicherheitslücken aufwiesen und viele Datensätze abfließen konnten.

Im März wurde eine Sicherheitslücke in einem Berliner Testzentrum bekannt, die eine Komplettlösung eines Wiener Startups einsetzt. Diese Lösung wird als Software as a Service eingesetzt und ermöglicht die Registrierung der Testpersonen und das Abrufen der Testergebnisse. Der Abruf der Testergebnisse erfolgte über eine fünfstellige, aufsteigend nummerierte Kennnummer. Üblicherweise verwendet man dafür eine sog. UUID, also einen 128 Bit langen, eindeutigen Wert aus Zahlen und Buchstaben. Verwendete man nun bei der Abfrage des Testergebnisses eine durch Abzug oder Addition veränderte Kennnummer im gleichen Format, konnte man die Ergebnisse von mind. 136.000 Tests abrufen, inklusive personenbezogener Daten, die bei der Registrierung angegeben wurden. Neben klassischen Datenschutzproblemen war es auch möglich die personenbezogenen Daten auf den Testergebnissen im Nachhinein zu verändern. So wäre es möglich, ein negatives Testergebnis für Donald Duck zu erstellen, der ja bekanntlich auch in sehr vielen Restaurants unterwegs war in letzter Zeit. (zerforschung.org)

Kurze Zeit später im April, wurden weitere Sicherheitslücken bekannt. Ein in Dortmund ansässiger Anbieter, vertreibt Webseiten mit WordPress inkl. Plugins für Terminbuchung und Abruf der Testergebnisse. In diesem Fall wurden zwar UUIDs für den Abruf der Ergebnisse verwendet, jedoch konnte über eine nicht deaktivierte Schnittstelle (API) und dem Fehlen einer Begrenzung für die maximale Anzahl von Abfragen innerhalb eines Zeitraums alle jemals erzeugten UUIDs abgerufen werden und dementsprechend auch die Testergebnisse von über 14.000 Tests von 10 Testzentren in verschiedenen Städten wie Hamburg, Berlin, Schwerte, Dortmund oder Leipzig abgegriffen werden. (zerforschung.org)

Bereits im Mai gab es die nächsten Meldungen: Wieder konnten mehr als 80.000 Testergebnisse eingesehen werden. Diesmal waren deutschlandweit Testzentren betroffen, die ihre Testergebnisse via SMS zustellten. Da eine SMS nur 140 Zeichen enthalten kann, wurden die Links zu den Ergebnis-PDFs mittels URL-Shortener gekürzt. Ähnlich wie bei dem Fall im März, immer nach dem gleichen Prinzip: drei Buchstaben plus drei Ziffern (ABC123). Dies ergibt zwar 57 Milliarden Möglichkeiten, ein Computer probiert diese aber mit vertretbarem Aufwand in kürzester Zeit durch und wurde auch 80.000-mal fündig. Wem dieser Aufwand zu hoch erscheint, der sei beruhigt. Ein (eigentlich) geheimer Schlüssel für die Schnittstelle zu einem E-Mail-Provider war im Quellcode der Webseite in Klartext zu finden, da er netterweise auch als solcher betitelt wurde. Mit Hilfe dieses Schlüssels (API-Key), war es möglich alle zusätzlich zur SMS versendeten E-mails abzurufen. Somit konnten auch auf diesem Wege die mehr als 80.000 Testergebnisse abgerufen und obendrein auch noch bequem gefiltert werden. (zerforschung.org)

Kurze Zeit später im Juni, die nächste Meldung: 175.000 PDFs mit Buchungsbestätigungen oder Testergebnissen aus 35 Testzentren öffentlich im Internet abrufbar. Auch hier waren wieder nur die einfach hochgezählten Buchungsnummern nötig, um an die personenbezogenen Daten heranzukommen. Der Speicherort der Testergebnisse war netterweise im Quellcode der Webseite in Klartext hinterlegt. Die Buchungsbestätigungen lagen im Ordner „nebenan“. Die Verschlüsselung der PDFs half leider auch nicht viel, denn die Passwortstärke war viel zu schwach. Ein vier Zeichen langes Passwort, bestehend aus den Ziffern 0-9 und A-F bietet Platz für nur 65.536 Kombinationen. Die hat selbst der älteste Laptop in wenigen Sekunden durchprobiert. (zerforschung.org)

Die beschriebenen Fälle waren Stichproben. Viele weitere Testzentren nutzen diese Software, auch hier und bei weiteren Betreibern bestand die Gefahr, dass personenbezogene Gesundheitsdaten problemlos abgegriffen werden konnten. Immerhin, alle beschriebenen Sicherheitslücken wurden geschlossen. Dennoch muss jeder Digitalisierungsschub, geplant oder ungeplant, immer auch mit Informationssicherheit einhergehen. Viele der Sicherheitslücken waren so trivial und offensichtlich, sie wären bei einer Sicherheitsüberprüfung schnell gefunden worden. Hier wünsche ich mir für die Zukunft mehr Kontrolle und Durchsetzungskraft von den zuständigen Datenschutzbehörden.

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

(AR) Die Lage der Cybersicherheit in Deutschland ist laut der BSI-Chefin „besorgniserregend“. Das stellte das BSI in seinem Lagebericht für das Jahr…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

13.01.2023 Blog | Cybersecurity

Nach Angaben der Webseite Cybernews wurde am 16. November 2022 in einem Forum im Darknet ein Datensatz mit 487 Millionen Mobilfunknummern von…

Combined Shape

Bei einem Hackerangriff auf den australischen Netzbetreiber Optus ist es Angreifern gelungen, zehn Millionen Kundendaten abzugreifen.

Combined Shape

11.10.2022 Blog | Cybersecurity

Ransomware, Virus, Spyware, Trojaner – Diese Begriffe haben Sie bestimmt schon einmal im Kontext von Malware gehört. Bei dieser Vielzahl kann man…

Combined Shape

24.06.2022 Blog | Cybersecurity

Was haben die Elektronik-Fachmarktkette Media Markt, der Automobilzulieferer Eberspächer und der Landkreis Anhalt-Bitterfeld gemeinsam? Sie alle…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

Die fortschreitende Digitalisierung hat zur Folge, dass auch Cyberkriminelle sich diese neuen Technologien zunutze machen und neu entstehende…

Combined Shape

Bargeldloses Bezahlen, digitaler Impfausweis, Homeoffice, Videokonferenzen oder der digitale Gang zur Behörde sind nur einige Themengebiete, die durch…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Unser neuer Podcast widmet sich einem wichtigen Thema: der Schwachstellenanalyse in Unternehmen.

Combined Shape

Obwohl die E-Mail-Sicherheit im Unternehmen gerade mit SPF, DKIM und DMARC verstärkt wurde, kam es zu einem raffinierten Phishing-Angriff. Ein…

Combined Shape

Unser aktueller Podcast beleuchtet den folgenschweren Cyberangriff auf die Krankenhäuser in Herford, Rheda-Wiedenbrück und Bielefeld.

Combined Shape

Sara sitzt vor ihrem Computer, fest entschlossen, endlich online einen Termin für ihren neuen Personalausweis zu vereinbaren...

Combined Shape

Voller Vorfreude, sein neues Auto mit individuellem Wunschkennzeichen anzumelden, besucht Carsten die Online-Zulassungsstelle...

Combined Shape

Die EU-Whistleblowing-Richtlinie wurde mit dem Hinweisgeberschutzgesetz (HinSchG) in nationales Recht umgewandelt.

Combined Shape

Im hektischen Betrieb an einem Montag in der IT-Abteilung eines Unternehmens durchbrach das Telefonläuten die augenblickliche Arbeit. Der…

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In der neuen Folge unseres Podcasts "audatis DIALOG" geht es um das spannende Thema: die Zukunft von Cyberversicherungen.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um eine mögliche Phishing-Attacke trotz…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Allianz Risk Barometer 2022 und die Top…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ werden die Ransomwareangriffe auf Unternehmen der Gruppe REvil…

Combined Shape

26.04.2022 Podcast | Cybersecurity

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die möglichen Risiken bei der Nutzung von Kaspersky.

Combined Shape

In der neuen Folge geht es um das auf Cyber-Security Lösungen spezialisierte Unternehmen "Mandiant", welches kürzlich von Google gekauft wurde.

Combined Shape

In der neuen Folge geht es um die Erstellung von Audit-Programmen.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

In der neuen Folge geht es um Cyber-Versicherungen für Unternehmen.

Combined Shape

11.01.2022 Podcast | Cybersecurity

In der neuen Folge geht es um die Cyber Security Trends für das Jahr 2022.

Combined Shape

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Ransomware-Angriffe.

Combined Shape

Nach unserer Sommerpause starten wir den mit der ersten Folge der neuen Reihe zum Thema Sicherheit der Cloud und wie diese durch Schwachstellen…

Combined Shape

Die Anzahl der Cyberangriffe auf Unternehmen nehmen zu.

Combined Shape

In der neuen Folge geht es um die Sicherheit bei der WLAN-Nutzung und den daraus resultierenden Gefahren für Unternehmen und Mitarbeiter im…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Entschließung der EU zur digitalen Verschlüsselung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Sicherheit in der Software-Lieferkette.

Combined Shape

08.12.2020 Podcast | Cybersecurity

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Phishing.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um das Internet der Dinge (IoT).

Combined Shape

23.06.2020 Podcast | Update-News, Datenschutz, Cybersecurity

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenschutz und IT-Sicherheit bei der App-Entwicklung.

Combined Shape