Gefühlt ist es Jahre her: Aggressive Covid-Varianten zirkulierten im Land, Tausende mussten ins Spital, zu viele von ihnen starben. Weil ein «Shutdown» politisch nicht mehr tragbar war, kam der Kompromiss: Ins Restaurant oder in den Nachtclub dürfen nur jene, die ihren Beitrag für die kollektive Gesundheit erbracht haben – und sich auf Covid testen liessen. Diese Regel brachte der Schweiz nicht nur die Zertifikatspflicht, sondern vielen Testzentren hübsche Umsatzzahlen.
In dieser Zeit fiel auch das sogenannte «Corona Testcenter» auf: Das Unternehmen hatte einen geschickten Namen. Wer im Internet nach «Corona Testcenter» suchte, landete häufig bei diesem Anbieter. Die Standorte, etwa in Zürich, Liechtenstein oder in Österreich, wurden entsprechend gut besucht. Zwischen Dezember 2020 und November 2022 wurden die Testcenter 133'065 Mal von Schweizerinnen, 19'274 Mal von Liechtensteinern und 873'803 Mal von Österreichern besucht.
Solche Zahlen finden üblicherweise nicht den Weg an die Öffentlichkeit. Dass dies trotzdem der Fall ist, hängt mit einer schwerwiegenden Sicherheitslücke zusammen: Die Datenbank der durchgeführten Covid-Tests war etwa so gut geschützt, wie wenn man den Schlüssel zur Wohnung an die Haustüre kleben würde.
Aufgefallen war das einem jungen Informatiker aus der Schweiz. Er las Ende Oktober 2022 den Beitrag «Wenn man’s sich einfach macht und Webserver dann ungewollt zu viel preisgeben» des journalistischen Blogs «Dnip» (kurz für: Das Netz ist politisch), in dem eine ähnliche Sicherheitslücke thematisiert wurde. Er erinnert sich: «Ich war erstaunt, dass rund 1300 Webseiten aus der Schweiz betroffen waren, weil die Sicherheitslücke so banal war. Es nahm mich deshalb wunder, ob es im Internet Webseiten mit noch idiotischeren Sicherheitslücken gab.»
Der Informatiker wählte einen besonders einfachen Ansatz: Er lud sich die Liste aller .ch-Webadressen herunter und schaute automatisiert nach, wie viele Konfigurationsdateien er finden konnte. «Ich spielte sozusagen herum. Es waren keine besonderen Programmierkenntnisse nötig – ich schaute schlicht bei jeder Webadresse nach, ob eine ‹.env›-Datei existierte.» Zu seiner Überraschung gab es ein paar Hundert Treffer.
Besonders aufgefallen war ihm jener unter der Adresse «testcenter-corona.ch»: Darin enthalten waren die vollständigen Log-in-Daten zur Datenbank, auf der 1'035'050 Covid-Testdaten lagerten. «Ich alarmierte nach dem Treffer die relevanten Stellen beim Bund. Das Leck wurde noch am selben Tag geschlossen», sagt er.
Passiert ist das Ganze am 9. November 2022. Informiert wurden nicht nur die Bundesämter für Gesundheit bzw. Informatik und Telekommunikation (weil zunächst ein Missbrauch von Covid-Testzertifikaten befürchtet wurde), sondern auch das Nationale Zentrum für Cybersicherheit. Tags darauf kam noch der Datenschützer des Bundes hinzu, der gut zwei Wochen später den heiklen Datensatz erhielt.
Der Informatiker erinnert sich: «Ich wollte die Daten nicht haben: Darin waren E-Mail-Adressen, Handynummern, Covid-Testergebnisse und Werte zur Corona-Virenlast enthalten. Das sind heikle Daten, die nicht in fremde Hände geraten durften. Ich lud die Daten zur Beweissicherung herunter und wollte sehen, wie gravierend das Problem war. Und es war wegen der sensiblen Daten sehr gravierend.»
Oder anders gesagt: Ohne diese Bestätigung hätte er nicht gewusst, dass es sich um einen massiven Datenschutzvorfall von internationaler Dimension handelt.
Anders als im EU-Raum sieht das Schweizer Datenschutzgesetz aber nicht vor, dass mögliche Opfer von Datenlecks aktiv informiert werden müssen. Das Testcenter hätte das Leck schliessen und die Panne für sich behalten können. Der Informatiker sagt: «Ich übergab alle Dateien dem Schweizer Datenschützer, vernichtete alle Spuren auf meinem Rechner und hoffte, dass Lehren aus diesem Vorfall gezogen werden können.»
Die Sprecherin des Eidgenössischen Datenschutzbeauftragten bestätigt, dass sich der Informatiker an ihn gewandt hat und ein Verfahren nach Vorabklärungen eröffnet wurde. Weiter sagt sie, dass «die notwendigen Sofortmassnahmen zum Schutz der Betroffenen ergriffen worden sind, sodass keine Gefahr im Verzug liegt» und weitere Abklärungen «inzwischen weit fortgeschritten» sind. Konkretere Aussagen bleiben aus, weil das Verfahren noch läuft.
Die Datenschutzstelle in Liechtenstein bestätigt, dass sie über das laufende Verfahren informiert wurde. Weiter heisst es: «Da sowohl Verantwortlicher als auch Auftragsverarbeiter nicht in Liechtenstein ansässig sind und derzeit auch keine Beschwerde bei der Datenschutzstelle Liechtenstein zum Vorfall anhängig ist, obliegt der Datenschutzstelle Liechtenstein zurzeit eine passive Rolle.»
Die österreichische Datenschutzbehörde schweigt zum Vorfall. Sie liess eine Anfrage von watson unbeantwortet. Von Schweizer und liechtensteinischer Seite heisst es aber immerhin, dass auch die Kolleginnen und Kollegen in Wien involviert wurden. «Die österreichische Datenschutzbehörde hat aus Bern alle Informationen erhalten, welche eine Untersuchung der in Österreich stattfindenden Datenverarbeitungen (Auftragsverarbeitung) erlauben», heisst es von der liechtensteinischen Behörde.
Der zuständige Mediziner hinter dem «Corona Testcenter» – ein österreichischer Hausarzt mit Praxis in St.Gallen – nimmt gegenüber watson Stellung. Er bezeichnet die Darstellung, wonach Daten frei einsehbar waren, als «unwahre Behauptung» – belegen tut er das nicht.
«Nach meinen Informationen hat ein Hacker unzulässig auf die Datenbank zugegriffen. Es gab nachweislich nur diesen einen Zugriff. Die Datenbank wurde umgehend offline genommen, weshalb keine weiteren Zugriffe möglich waren», schreibt er in seiner Antwort. Darin merkt er auch an: «Ich halte fest, dass die Daten von einem externen IT-Unternehmen gesichert werden. Die Vorkommnisse liegen daher ausserhalb meines Wirkungsbereiches. Ich bin Arzt und kein IT-Dienstleister.»
Entgegen der vorliegenden Fakten sagt er weiter: «Die Daten waren nicht unzureichend gesichert. Vielmehr wurden diese rechtswidrig gehackt.» Zudem teilt er mit, dass er am Abklären sei, ob sich der «Hacker» strafrechtlich verhalten habe.
Wichtigere Abklärungen dürften aber sein, wann und ob die Betroffenen informiert werden. Der Hausarzt hat zwar seinen Sitz in St.Gallen. Die Behörden in Wien und Vaduz werden aber während der Untersuchungen prüfen müssen, ob das Datenleck «voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge» hatte. In diesem Fall hätten nämlich die betroffenen Personen «unverzüglich» informiert werden müssen.
Was bis am 21. Dezember, gut sechs Wochen nach dem Entdecken der Sicherheitslücke, noch nicht geschehen war.
'Ich bin Arzt, kein Informatiker': Tja, die Datenschutzverantwortung lässt sich als Datenowner eben nicht delegieren. Zum Beispiel weil es billiger ist, einen unfähigen Dienstleister zu beauftragen
Aber trotz dieser Ausrede dann den Vorfall als 'rechtswidrig gehackt' einstufen? Ja was jetzt? Ahnung oder doch keine?
Ist die Datei mit den Passwörtern unter einer einfach vorhersagbaren URL im Internet zu erreichen, ist das IMHO kein Hack, da die Datei auf keine Art und Weise geschützt war
Das mindeste wäre, wenn er die gesamten Gewinne von diesem Testcenter abgeben müsste.
Cybersecurity muss endlich auch vom Gesetzgeber ernst genommen werden.