Eine Lücke in einer bundesweit in Corona-Testzenten genutzten Software soll Unbefugten Zugriff auf Adressen und Ergebnisse ermöglicht haben. Dies machte am gestrigen Sonntag der Berliner „Tagesspiegel“ öffentlich. Die Software wird auch am Rottweiler Testzentrum eingesetzt.
UPDATE Montag, 26. April, 16.33 Uhr: Der Betreiber des Rottweiler Corona-Testzentrums, Axel Keller, hat nun weitere Informationen zum Fall. Er schreibt:
Es gab keinen Datenklau in der Form, dass Daten durch einen Massendownload aus einer Datenbank entwendet wurden. Vielmehr bezieht sich das Leck darauf, dass Zertifikate, die im Endgebrauch teilweise öffentlich zugänglich sein müssen, etwa für Scans an einer Gaststätte, Friseur und so weiter, durch die Zufallswahl einer Zahlenkombination ersichtlich waren. Dabei handelte es sich aber immer nur um einen möglichen Datensatz, der aufgerufen werden konnte.
Durch die Verwendung einer eigenen Domain ist es nach wie vor sehr unwahrscheinlich, dass Daten unserer Kunden von dem Datenleck überhaupt betroffen waren. In dem ursprünglichen Artikel, in dem unterschiedliche Testzentren geprüft wurden, war unser Testzentrum nicht enthalten. Der Standort Rottweil wurde nach unseren Erkenntnissen bei einer weiteren Recherche nach Innofabrik-Kunden hinzugefügt.
Das Datenleck wurde am Samstag, 12.45 Uhr gemeldet. Gegen 13:30 Uhr wurde das Leck von Innofabrik geschlossen.
Der Landesdatenschutzbeauftragte wurde von Innofabrik heute Morgen kontaktiert. Nach dessen Aussagen ist keine Information an die Kunden erforderlich.
Datenschutzprobleme bei Corona-Testsoftware-Anbietern sind leider nicht neu. Bei der Wahl unserer Software-Anbieter hatten wir bereits einige Unternehmen aus der Auswahl genommen, da dort ebenfalls Datenpannen aufgetreten sind. Jetzt hat es leider aber unser gewählter Anbieter nicht wirklich besser gemacht – wenn auch die Größe des Lecks kleiner ist.
Unser ursprünglicher Bericht: Von dem Problem sind laut dem Medienbericht Testzentren im ganzen Bundesgebiet betroffen – eben jene, die die entsprechende Software einsetzen. Diese weise ein Datenleck auf. Durch eine Sicherheitslücke hätten Unbefugte auf Testergebnisse und andere sensible Daten zugreifen können, hat der „Tagesspiegel“ herausgefunden. Die Sicherheitslücke ist noch am Samstag „innerhalb kürzester Zeit“ behoben worden, erklärte laut einem Bericht des SWR der Innofabrik-Geschäftsführer Dennis Messer der Nachrichtenagentur dpa.
„Wir wurden von Innofabrik am Samstag informiert und sind mit dem Unternehmen im Austausch“, erklärt Axel Keller von Hauser Reisen auf Nachfrage der NRWZ. Sein Unternehmen, dessen Reisebusse derzeit stehen bleiben müssen, betreibt das Corona-Testzentrum auf dem Berner Feld. Dort wird die Software von Innofabrik eingesetzt, wie Keller bestätigt. „Mit hoher Wahrscheinlichkeit sind unsere Kunden davon nicht betroffen, da es um einen Softwarestand geht, den wir nicht einsetzen“, so Keller weiter. Er warte hier allerdings noch auf die definitive Aussage seitens des Softwareentwickler, ob die Kunden am Rottweiler Testzentrum betroffen sind oder nicht.
Vorsorglich habe sich Innofabrik am heutigen Montag mit den Behörden in Verbindung gesetzt, um das Ausmaß und die erforderlichen Schritte zu erörtern, so Keller.
Der „Tagesspiegel“ hatte stichprobenartig in 13 Teststationen, die laut der Zeitung die Software von Innofabrik nutzen, Daten abrufen können. Laut der Zeitung soll es um mehr als 45.000 Termindaten gehen. Das Softwareunternehmen geht allerdings von einer deutlich niedrigeren Zahl aus.
Bei Innofabrik soll es sich um eine von Studierenden im Nebenerwerb betriebene Firma handeln. Diese hatte zunächst die Software für ein lokales Testzentrum am Sitz des Unternehmens entwickelt und diese dann weiteren Testzentren angeboten.
