Coro­na-Test­zen­tren

Lese­dau­er 3 Minu­ten

Eine neu ent­deck­te Lücke in der Daten­si­cher­heit von Coro­na-Test­zen­tren zeigt Män­gel in der Testverordnung.

Rea­lis­tisch betrach­tet ist die Über­ra­schung an die­ser Stel­le nicht all­zu groß.

Der Fall Coro­na­point scheint der bis­her gra­vie­rends­te in einer Rei­he von Daten­pan­nen zu sein.

Knapp 174.000 Buchungs­be­stä­ti­gun­gen sind teils mit Test­ergeb­nis­sen abruf­bar und es gibt zehn­tau­sen­de Betroffene.

Aktivist:innen haben die zustän­di­gen Behör­den infor­miert. Geschlos­sen wur­de die Daten­lü­cke aber erst nach meh­re­ren Hin­wei­sen von “Zer­for­schung”.

Als der SPD-Gesund­heits­exper­te Karl Lau­ter­bach ver­gan­ge­ne Woche ein Test­zen­trum des Betrei­bers Coro­na­point besuch­te, sag­te er noch:

“Ich habe mich sehr geär­gert, dass ein paar weni­ge Zen­tren den Ruf die­ser wich­ti­gen Bran­che beschä­digt haben.”

SPD-Gesund­heits­exper­te Karl Lauterbach

Dass gera­de der Betrei­ber Coro­na­point bald zur Ruf­schä­di­gung bei­tra­gen wird, weiß er zu die­sem Zeit­punkt nicht — obwohl das Unter­neh­men schon über die Män­gel in der Soft­ware infor­miert war.

Beson­ders gra­vie­rend ist der Fall Coro­na­point, weil neben sen­si­blen Gesund­heits­da­ten auch Aus­weis­num­mern betrof­fen sind.

“Kri­mi­nel­le kön­nen damit erheb­li­chen finan­zi­el­len Scha­den verursachen”

Schreibt das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI).

Der Lan­des­be­auf­trag­te für Daten­schutz in Baden-Würt­tem­berg, Ste­fan Brink, sieht Iden­ti­täts­dieb­stahl als größ­tes Risiko.

Test­zen­tren sei­en daher ein loh­nen­des Ziel für Hacker. 

Ob es in die­sem Fall uner­laub­te Zugrif­fe gab, ist nicht klar.

Gene­rell wird der Schutz der sen­si­blen Daten in den Test­ver­ord­nun­gen von Bund und Län­dern schlicht nicht berück­sich­tigt. Auch wer­den die zustän­di­gen Behör­den vor der Eröff­nung von Test­zen­tren nicht benachrichtigt.

Sonst, so Ste­fan Brink, könn­ten sie zumin­dest Hin­wei­se zur Daten­si­che­rung geben. Schon die Erhe­bung von Aus­weis­da­ten, wenn sie nicht not­wen­dig ist, bezeich­net Ste­fan Brink als “kla­ren daten­schutz­recht­li­chen Ver­stoß” und “unver­hält­nis­mä­ßi­ges Risiko”.

Auch das Bun­des­ge­sund­heits­mi­nis­te­ri­um beschreibt einen “Ver­stoß gegen das Gebot der Daten­mi­ni­mie­rung”. Das Miss­brauchs­ri­si­ko steigt aber, weil die IT-Sys­te­me oft lai­en­haft geschützt sind. Sys­te­ma­ti­sche Kon­trol­len gibt es kei­ne, weil Res­sour­cen feh­len. Die Behör­den sind auf das Enga­ge­ment von Aktivist:innen angewiesen.

Was mit Mil­lio­nen sen­si­bler Daten pas­siert, wenn sich die betref­fen­den Unter­neh­men auf­lö­sen, ist unklar. Gefähr­li­che Sze­na­ri­en rei­chen von der unsach­ge­mä­ßen Ent­sor­gung von Spei­cher­ge­rä­ten bis zur geziel­ten Ver­äu­ße­rung der Daten:

“Wer von der Insol­venz bedroht ist, für den kann das lukra­tiv sein”

sagt Ste­fan Brink.

Daten­schüt­zer zei­gen sich vor dem Hin­ter­grund die­ser Gefah­ren alar­miert, poli­tisch fehlt jedoch eine kla­re Zuständigkeit.

Das Gesund­heits­mi­nis­te­ri­um ver­weist bei Fra­gen auf das BSI, die NRW-Daten­schutz­be­hör­de sieht die Ver­ant­wor­tung bei den Unternehmen.

Karl Lau­ter­bach geht ins­ge­samt, sagt er auf Anfra­ge, wei­ter davon aus, dass über­wie­gend ehr­lich gear­bei­tet werde. 

Den­noch zeigt er sich entsetzt:

“Wenn ich von den Ver­däch­ti­gun­gen gewusst hät­te, hät­te ich auf kei­nen Fall die­ses Unter­neh­men besucht.”

sagt Karl Lauterbach,

Sicher­lich haben nicht nur Test­zen­tren wäh­rend der Bekämp­fung der Coro­na-Pan­de­mie das Augen­merk nicht auf Daten­schutz gerich­tet. Aber völ­lig unstrit­tig ist die Tat­sa­che, dass es höchs­te Zeit ist, die Ver­gan­gen­heit und den aktu­el­len Umgang mit per­so­nen­be­zo­ge­nen Daten genau­er zu betrachten.

Also las­sen Sie sich gut beraten.