Hochnebel-1°
DE | FR
68
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Schweiz
Österreich

Datenschutz-Panne bei Corona Testcenter – Verfahren eröffnet

Internationale Datenschutz-Panne bei Schweizer Covid-Testcenter – niemand informiert Opfer

Ein St.Galler Hausarzt betrieb mehrere Covid-Testcenter, ohne sensible Gesundheitsdaten ausreichend schützen zu lassen. Die Entdeckung eines Schweizer Informatikers führt jetzt zu Untersuchungen in drei Ländern.
22.12.2022, 05:5822.12.2022, 12:48

Gefühlt ist es Jahre her: Aggressive Covid-Varianten zirkulierten im Land, Tausende mussten ins Spital, zu viele von ihnen starben. Weil ein «Shutdown» politisch nicht mehr tragbar war, kam der Kompromiss: Ins Restaurant oder in den Nachtclub dürfen nur jene, die ihren Beitrag für die kollektive Gesundheit erbracht haben – und sich auf Covid testen liessen. Diese Regel brachte der Schweiz nicht nur die Zertifikatspflicht, sondern vielen Testzentren hübsche Umsatzzahlen.

In dieser Zeit fiel auch das sogenannte «Corona Testcenter» auf: Das Unternehmen hatte einen geschickten Namen. Wer im Internet nach «Corona Testcenter» suchte, landete häufig bei diesem Anbieter. Die Standorte, etwa in Zürich, Liechtenstein oder in Österreich, wurden entsprechend gut besucht. Zwischen Dezember 2020 und November 2022 wurden die Testcenter 133'065 Mal von Schweizerinnen, 19'274 Mal von Liechtensteinern und 873'803 Mal von Österreichern besucht.

Corona-Testzentrum in Zürich
Möglicherweise der beste Preis, aber mit schwachem Datenschutz: So präsentierte sich eines der Testcenter Anfang 2022.Bild: watson

Solche Zahlen finden üblicherweise nicht den Weg an die Öffentlichkeit. Dass dies trotzdem der Fall ist, hängt mit einer schwerwiegenden Sicherheitslücke zusammen: Die Datenbank der durchgeführten Covid-Tests war etwa so gut geschützt, wie wenn man den Schlüssel zur Wohnung an die Haustüre kleben würde.

Ich will es genauer wissen
Die Zugangsdaten der Testcenter-Websysteme waren in einer Konfigurationsdatei gesammelt und frei zugänglich. Das erste ist nicht ungewöhnlich: Wenn Webentwicklerinnen und Programmierer bestimmte Passwörter für Datenbanken oder Mailserver abspeichern wollen, dann landen diese häufig in einer sogenannten «.env»-Datei. Das hat bestimmte Vorteile, die aber nur dann vorliegen, wenn die «.env»-Datei vor unbefugten Zugriffen besonders gut geschützt wird. Beim «Corona Testcenter» traf das nicht zu: Die Daten waren unter der Adresse cert.testcenter-corona.ch/.env für alle frei abrufbar.

Aufgefallen war das einem jungen Informatiker aus der Schweiz. Er las Ende Oktober 2022 den Beitrag «Wenn man’s sich einfach macht und Webserver dann ungewollt zu viel preisgeben» des journalistischen Blogs «Dnip» (kurz für: Das Netz ist politisch), in dem eine ähnliche Sicherheitslücke thematisiert wurde. Er erinnert sich: «Ich war erstaunt, dass rund 1300 Webseiten aus der Schweiz betroffen waren, weil die Sicherheitslücke so banal war. Es nahm mich deshalb wunder, ob es im Internet Webseiten mit noch idiotischeren Sicherheitslücken gab.»

Der Informatiker wählte einen besonders einfachen Ansatz: Er lud sich die Liste aller .ch-Webadressen herunter und schaute automatisiert nach, wie viele Konfigurationsdateien er finden konnte. «Ich spielte sozusagen herum. Es waren keine besonderen Programmierkenntnisse nötig – ich schaute schlicht bei jeder Webadresse nach, ob eine ‹.env›-Datei existierte.» Zu seiner Überraschung gab es ein paar Hundert Treffer.

Besonders aufgefallen war ihm jener unter der Adresse «testcenter-corona.ch»: Darin enthalten waren die vollständigen Log-in-Daten zur Datenbank, auf der 1'035'050 Covid-Testdaten lagerten. «Ich alarmierte nach dem Treffer die relevanten Stellen beim Bund. Das Leck wurde noch am selben Tag geschlossen», sagt er.

Über die Recherche
Der Informatiker teilte seine Ergebnisse unter Zusicherung des Quellenschutzes und der Anonymität. watson und «Dnip» berichten über den Vorfall, sechs Wochen nachdem die Sicherheitslücke behoben und die Behörden informiert wurden.

Passiert ist das Ganze am 9. November 2022. Informiert wurden nicht nur die Bundesämter für Gesundheit bzw. Informatik und Telekommunikation (weil zunächst ein Missbrauch von Covid-Testzertifikaten befürchtet wurde), sondern auch das Nationale Zentrum für Cybersicherheit. Tags darauf kam noch der Datenschützer des Bundes hinzu, der gut zwei Wochen später den heiklen Datensatz erhielt.

Der Informatiker erinnert sich: «Ich wollte die Daten nicht haben: Darin waren E-Mail-Adressen, Handynummern, Covid-Testergebnisse und Werte zur Corona-Virenlast enthalten. Das sind heikle Daten, die nicht in fremde Hände geraten durften. Ich lud die Daten zur Beweissicherung herunter und wollte sehen, wie gravierend das Problem war. Und es war wegen der sensiblen Daten sehr gravierend.»

Oder anders gesagt: Ohne diese Bestätigung hätte er nicht gewusst, dass es sich um einen massiven Datenschutzvorfall von internationaler Dimension handelt.

Anders als im EU-Raum sieht das Schweizer Datenschutzgesetz aber nicht vor, dass mögliche Opfer von Datenlecks aktiv informiert werden müssen. Das Testcenter hätte das Leck schliessen und die Panne für sich behalten können. Der Informatiker sagt: «Ich übergab alle Dateien dem Schweizer Datenschützer, vernichtete alle Spuren auf meinem Rechner und hoffte, dass Lehren aus diesem Vorfall gezogen werden können.»

Die Sprecherin des Eidgenössischen Datenschutzbeauftragten bestätigt, dass sich der Informatiker an ihn gewandt hat und ein Verfahren nach Vorabklärungen eröffnet wurde. Weiter sagt sie, dass «die notwendigen Sofortmassnahmen zum Schutz der Betroffenen ergriffen worden sind, sodass keine Gefahr im Verzug liegt» und weitere Abklärungen «inzwischen weit fortgeschritten» sind. Konkretere Aussagen bleiben aus, weil das Verfahren noch läuft.

Schwacher Datenschutz in der Schweiz
Das eidgenössische Datenschutzgesetz geht im europäischen Vergleich milde mit solchen Vorfällen um. Eine Verschärfung tritt erst nächstes Jahr am 1. September 2023 in Kraft. Vorgesehen sind Bussen für Verstösse punkto beruflicher Schweigepflicht, der Sorgfaltspflichten. Möglich sind Bussen in der Höhe von bis zu 250'000 Franken – sofern eine schuldige Privatperson gefunden wird.

Die Datenschutzstelle in Liechtenstein bestätigt, dass sie über das laufende Verfahren informiert wurde. Weiter heisst es: «Da sowohl Verantwortlicher als auch Auftragsverarbeiter nicht in Liechtenstein ansässig sind und derzeit auch keine Beschwerde bei der Datenschutzstelle Liechtenstein zum Vorfall anhängig ist, obliegt der Datenschutzstelle Liechtenstein zurzeit eine passive Rolle.»

Die österreichische Datenschutzbehörde schweigt zum Vorfall. Sie liess eine Anfrage von watson unbeantwortet. Von Schweizer und liechtensteinischer Seite heisst es aber immerhin, dass auch die Kolleginnen und Kollegen in Wien involviert wurden. «Die österreichische Datenschutzbehörde hat aus Bern alle Informationen erhalten, welche eine Untersuchung der in Österreich stattfindenden Datenverarbeitungen (Auftragsverarbeitung) erlauben», heisst es von der liechtensteinischen Behörde.

Der zuständige Mediziner hinter dem «Corona Testcenter» – ein österreichischer Hausarzt mit Praxis in St.Gallen – nimmt gegenüber watson Stellung. Er bezeichnet die Darstellung, wonach Daten frei einsehbar waren, als «unwahre Behauptung» – belegen tut er das nicht.

Die Daten seien nicht «frei einsehbar» gewesen – die Log-in-Daten für die Datenbank aber schon.
Die Daten seien nicht «frei einsehbar» gewesen – die Log-in-Daten für die Datenbank aber schon.Bild: watson

«Nach meinen Informationen hat ein Hacker unzulässig auf die Datenbank zugegriffen. Es gab nachweislich nur diesen einen Zugriff. Die Datenbank wurde umgehend offline genommen, weshalb keine weiteren Zugriffe möglich waren», schreibt er in seiner Antwort. Darin merkt er auch an: «Ich halte fest, dass die Daten von einem externen IT-Unternehmen gesichert werden. Die Vorkommnisse liegen daher ausserhalb meines Wirkungsbereiches. Ich bin Arzt und kein IT-Dienstleister.»

Entgegen der vorliegenden Fakten sagt er weiter: «Die Daten waren nicht unzureichend gesichert. Vielmehr wurden diese rechtswidrig gehackt.» Zudem teilt er mit, dass er am Abklären sei, ob sich der «Hacker» strafrechtlich verhalten habe.

«Die Daten waren nicht unzureichend gesichert. Vielmehr wurden diese rechtswidrig gehackt.»
Die Darstellung des verantwortlichen Arztes der Tatsache, dass die Log-in-Daten zur Covid-Test-Datenbank unter einer einfach erratbaren Webadresse frei verfügbar waren

Wichtigere Abklärungen dürften aber sein, wann und ob die Betroffenen informiert werden. Der Hausarzt hat zwar seinen Sitz in St.Gallen. Die Behörden in Wien und Vaduz werden aber während der Untersuchungen prüfen müssen, ob das Datenleck «voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge» hatte. In diesem Fall hätten nämlich die betroffenen Personen «unverzüglich» informiert werden müssen.

Was bis am 21. Dezember, gut sechs Wochen nach dem Entdecken der Sicherheitslücke, noch nicht geschehen war.

Was kann ich als betroffene Person tun?
Falls du in den vergangenen Monaten das Testcenter besucht hast, wirst du in deinen Mails von der Absenderadresse noreply@testcenter-corona.ch das Zertifikat finden. Du kannst gestützt auf das Datenschutzgesetz beispielsweise die Einsicht oder Löschung der Daten verlangen. Die Anschrift des Testcenters findest du im Webarchiv. Der Verein «Digitale Gesellschaft Schweiz» hilft dir beim Erstellen eines Datenauskunftsbegehrens mit einem Generator.
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

68 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
fant
22.12.2022 06:44registriert Oktober 2015
Da läuft so viel falsch:

'Ich bin Arzt, kein Informatiker': Tja, die Datenschutzverantwortung lässt sich als Datenowner eben nicht delegieren. Zum Beispiel weil es billiger ist, einen unfähigen Dienstleister zu beauftragen

Aber trotz dieser Ausrede dann den Vorfall als 'rechtswidrig gehackt' einstufen? Ja was jetzt? Ahnung oder doch keine?

Ist die Datei mit den Passwörtern unter einer einfach vorhersagbaren URL im Internet zu erreichen, ist das IMHO kein Hack, da die Datei auf keine Art und Weise geschützt war
1362
Melden
Zum Kommentar
avatar
ingmarbergman
22.12.2022 06:42registriert August 2017
Da hat sich der Arzt eine goldene Nase verdient, indem er auf billige IT gesetzt hat.
Das mindeste wäre, wenn er die gesamten Gewinne von diesem Testcenter abgeben müsste.
Cybersecurity muss endlich auch vom Gesetzgeber ernst genommen werden.
1314
Melden
Zum Kommentar
avatar
miklapp
22.12.2022 06:28registriert Juli 2022
Mich würde interessieren welche Firma
IT-Web Dienstleister die Seite online genommen hat.
So weiss ich um welche Firma ich einen Bogen machen muss.
1114
Melden
Zum Kommentar
68
Bomben auf Kallnach
Am 6. Januar 1918 gehen fünf Bomben in der Nähe des Bahnhofs Kallnach nieder. Das Grosse Moos im Berner Seeland wird von den Detonationen erschüttert. Glücklicherweise ist nur ein Sachschaden zu beklagen. Schnell ist klar: bei den Bomben handelt es sich um französische Fabrikate. Wer aber die Bomben abgeworfen hat, bleibt ein Rätsel ...

Wir befinden uns im vierten Winter des Ersten Weltkrieges. Am Sonntag, 6. Januar 1918, ist es um 6 Uhr 30 in der Früh noch dunkel im bernischen Kallnach. Das Dorf am Rande des Grossen Mooses liegt im dem für das Seeland typischen Nebel – die Böden sind leicht mit Schnee bedeckt. Ein vollbesetzter Zug mit Soldaten der Schweizer Armee hat soeben den Bahnhof in Richtung Aarberg verlassen.

Zur Story