Internationale Datenschutz-Panne bei Schweizer Covid-Testcenter – niemand informiert Opfer

Ein St. Galler Hausarzt betrieb mehrere Covid-Testcenter, ohne sensible Gesundheitsdaten ausreichend schützen zu lassen. Die Entdeckung eines Schweizer Informatikers führt jetzt zu Untersuchungen in drei Ländern.

Gefühlt ist es Jahre her: aggressive Covid-Varianten zirkulierten im Land, Tausende mussten ins Spital, einige von ihnen starben. Weil ein «Shutdown» politisch nicht mehr tragbar war, kam der Kompromiss: Ins Restaurant oder in den Nachtclub dürfen nur jene, die ihren Beitrag an die kollektive Gesundheit erbracht haben – und sich auch Covid testen liessen. Diese Regel brachte der Schweiz nicht nur die Zertifikatspflicht, sondern vielen Testzentren hübsche Umsatzzahlen.

In dieser Zeit fiel auch das sogenannte «Corona Testcenter» auf: Das Unternehmen hatte einen geschickten Namen. Wer im Internet nach «Corona Testcenter» suchte, landete häufig bei diesem Anbieter. Die Standorte, etwa in Zürich, Liechtenstein oder in Österreich wurden entsprechend gut besucht. Zwischen Dezember 2020 und November 2022 wurden die Testcenter 133'065 von Schweizerinnen, 19'274 von Liechtensteinern und 873'803 von Österreichern besucht.

Möglicherweise der beste Preis, aber mit schwachem Datenschutz: So präsentierte sich eines der Testcenter Anfang 2022. Bild: watson

Solche Zahlen finden üblicherweise nicht den Weg an die Öffentlichkeit. Dass dies trotzdem der Fall ist, hängt mit einer schwerwiegenden Sicherheitslücke zusammen: Die Datenbank der durchgeführten Covid-Tests war etwa so gut geschützt, wie wenn man den Schlüssel zur Wohnung an die Haustüre kleben würde.

Die Zugangsdaten der Testcenter-Websysteme waren in einer Konfigurationsdatei gesammelt und frei zugänglich. Das erste ist nicht ungewöhnlich: Wenn Webentwicklerinnen und Programmierer bestimmte Passwörter für Datenbanken oder Mailserver abspeichern wollen, dann landen diese häufig in einer sogenannten «.env»-Datei. Das hat bestimmte Vorteile, die aber nur dann vorliegen, wenn die «.env»-Datei vor unbefugten Zugriffen besonders gut geschützt wird. Beim «Corona Testcenter» traf das nicht zu: Die Daten waren unter der Adresse cert.testcenter-corona.ch/.env für alle frei abrufbar.

Aufgefallen war das einem jungen Informatiker aus der Schweiz. Er las Ende Oktober 2022 den Beitrag «Wenn man’s sich einfach macht und Webserver dann ungewollt zu viel preisgeben» des journalistischen Blogs «Dnip» (kurz für: Das Netz ist politisch), in dem eine ähnliche Sicherheitslücke thematisiert wurde. Er erinnert sich: «Ich war erstaunt, dass rund 1300 Webseiten aus der Schweiz betroffen waren, weil die Sicherheitslücke so banal war. Es nahm mich deshalb wunder, ob es im Internet Webseiten mit noch idiotischeren Sicherheitslücken gab.»

Der Informatiker wählte einen besonders einfachen Ansatz: Er lud sich die Liste aller .ch-Webadressen herunter und schaute automatisiert nach, wie viele Konfigurationsdateien er finden konnte. «Ich spielte sozusagen herum. Es waren keine besonderen Programmierkenntnisse nötig – ich schaute schlicht bei jeder Webadresse nach, ob eine ‹.env›-Datei existierte.» Zu seiner Überraschung gab es ein paar Hundert Treffer.

Besonders aufgefallen war ihm jener unter der Adresse «testcenter-corona.ch»: Darin enthalten waren die vollständigen Log-in-Daten zur Datenbank, auf der 1'035'050 Covid-Testdaten lagerten. «Ich alarmierte nach dem Treffer die relevanten Stellen beim Bund. Das Leck wurde noch am selben Tag geschlossen», sagt er.

Über die Recherche Der Informatiker teilte seine Ergebnisse unter Zusicherung des Quellenschutzes und der Anonymität. watson und «Dnip» berichten über den Vorfall sechs Wochen nachdem die Sicherheitslücke behoben und die Behörden informiert wurden.

Passiert ist das Ganze am 9. November 2022. Informiert wurden nicht nur die Bundesämter für Gesundheit bzw. Informatik und Telekommunikation (weil zunächst ein Missbrauch von Covid-Testzertifikaten befürchtet wurde), sondern auch das Nationale Zentrum für Cybersicherheit. Tags darauf kam noch der Datenschützer des Bundes hinzu, der gut zwei Wochen später den heiklen Datensatz erhielt.

Der Informatiker erinnert sich: «Ich wollte die Daten nicht haben: Darin waren E-Mail-Adressen, Handynummern, Covid-Testergebnisse und Werte zur Corona-Virenlast enthalten. Das sind heikle Daten, die nicht in fremde Hände geraten durften. Ich lud die Daten zur Beweissicherung herunter und wollte sehen, wie gravierend das Problem war. Und es war wegen der sensiblen Daten sehr gravierend.»

Oder anders gesagt: Ohne diese Bestätigung hätte er nicht gewusst, dass es sich um einen massiven Datenschutzvorfall von internationaler Dimension handelt.

Anders als im EU-Raum sieht das Schweizer Datenschutzgesetz aber nicht vor, dass mögliche Opfer von Datenlecks aktiv informiert werden müssen. Das Testcenter hätte das Leck schliessen und die Panne für sich behalten können. Der Informatiker sagt: «Ich übergab alle Dateien dem Schweizer Datenschützer, vernichtete alle Spuren auf meinem Rechner und hoffte, dass Lehren aus diesem Vorfall gezogen werden können.»

Die Sprecherin des Eidgenössischen Datenschützers bestätigt, dass sich der Informatiker an ihn gewandt hat und ein Verfahren nach Vorabklärungen eröffnet wurde. Weiter sagt er, dass «die notwendigen Sofortmassnahmen zum Schutz der Betroffenen ergriffen worden sind, sodass keine Gefahr im Verzug liegt» und weitere Abklärungen «inzwischen weit fortgeschritten» sind. Konkretere Aussagen bleiben aus, weil das Verfahren noch läuft.

Schwacher Datenschutz in der Schweiz Das eidgenössische Datenschutzgesetz geht im europäischen Vergleich milde mit solchen Vorfällen um. Eine Verschärfung tritt erst nächstes Jahr am 1. September 2023 in Kraft. Vorgesehen sind Bussen für Verstösse punkto beruflicher Schweigepflicht, der Sorgfaltspflichten. Möglich sind Bussen in der Höhe von bis zu 250'000 Franken – sofern eine schuldige Privatperson gefunden wird.

Die Datenschutzstelle in Liechtenstein bestätigt, dass sie über das laufende Verfahren informiert wurde. Weiter heisst es: «Da sowohl Verantwortlicher als auch Auftragsverarbeiter nicht in Liechtenstein ansässig sind und derzeit auch keine Beschwerde bei der Datenschutzstelle Liechtenstein zum Vorfall anhängig ist, obliegt der Datenschutzstelle Liechtenstein zurzeit eine passive Rolle.»

Die österreichische Datenschutzbehörde schweigt zum Vorfall. Sie liess eine Anfrage von watson unbeantwortet. Von Schweizer und liechtensteinischer Seite heisst es aber immerhin, dass auch die Kolleginnen und Kollegen in Wien involviert wurden. «Die österreichische Datenschutzbehörde hat aus Bern alle Informationen erhalten, welche eine Untersuchung der in Österreich stattfindenden Datenverarbeitungen (Auftragsverarbeitung) erlauben», heisst es von der liechtensteinischen Behörde.

Der zuständige Mediziner hinter dem «Corona Testcenter» – ein österreichischer Hausarzt mit Praxis in St. Gallen – nimmt gegenüber watson Stellung. Er bezeichnet die Darstellung, wonach Daten frei einsehbar waren, als «unwahre Behauptung» – belegen tut er das nicht.

Die Daten seien nicht «frei einsehbar» gewesen – die Login-Daten für die Datenbank aber schon. Bild: watson

«Nach meinen Informationen hat ein Hacker unzulässig auf die Datenbank zugegriffen. Es gab nachweislich nur diesen einen Zugriff. Die Datenbank wurde umgehend offline genommen, weshalb keine weiteren Zugriffe möglich waren», schreibt er in seiner Antwort. Darin merkt er auch an: «Ich halte fest, dass die Daten von einem externen IT-Unternehmen gesichert werden. Die Vorkommnisse liegen daher ausserhalb meines Wirkungsbereiches. Ich bin Arzt und kein IT-Dienstleister.»

Entgegen der vorliegenden Fakten sagt er weiter: «Die Daten waren nicht unzureichend gesichert. Vielmehr wurden diese rechtswidrig gehackt.» Zudem teilt er mit, dass er am abklären sei, ob sich der «Hacker» strafrechtlich verhalten habe.

«Die Daten waren nicht unzureichend gesichert. Vielmehr wurden diese rechtswidrig gehackt.» Die Darstellung des verantwortlichen Arztes der Tatsache, dass die Login-Daten zur Covid-Test-Datenbank unter einer einfach erratbaren Webadresse frei verfügbar waren

Wichtigere Abklärungen dürften aber sein, wann und ob die Betroffenen informiert werden. Der Hausarzt hat zwar seinen Sitz in St. Gallen. Die Behörden in Wien und Vaduz werden aber während der Untersuchungen prüfen müssen, ob das Datenleck «voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge» hatte. In diesem Fall hätten nämlich die betroffenen Personen «unverzüglich» informiert werden müssen.

Was bis am 21. Dezember, gut sechs Wochen nach dem Entdecken der Sicherheitslücke, noch nicht geschehen war.