# taz.de -- Schnelltestzentrum mit Datenleck: 136.000 Corona-Tests ungeschützt
       
       > Zehntausende Corona-Testergebnisse standen zusammen mit Personendaten
       > wochenlang ungeschützt im Netz. Der Chaos Computer Club hat das Leck
       > aufgedeckt.
       
 (IMG) Bild: Die Betreiber von Berliner Gratis-Schnelltestzentren gingen recht sorglos mit Daten um
       
       Berlin taz | Rund 136.000 Corona-schnelltestergebnisse von 80.000
       Personen aus Deutschland und Österreich waren wochenlang mitsamt
       persönlichen Daten frei einsehbar auf dem Schnelltest-Portal
       „Test-to-go.berlin“. Das Portal von der Betreiberin „21dx“ wird auch von
       einem Testzentrum im Osten Berlins benutzt, wie die Gesundheitsverwaltung
       von Dilek Kalayci (SPD) der taz mitteilte. Man habe vom Betreiber eine
       externe Sicherheitsprüfung gefordert. Wie der [1][RBB] berichtet, waren die
       Daten Tausender Berliner:innen gefährdet. Mittlerweile sei die Lücke
       behoben. Betrieben wird die Website von der Wiener Firma Medicus AI, das
       als Produkt unter der Namen „Safeplay“ eine „Rundum-Sorglos-Website“ zur
       Verfügung stellt.
       
       Sorglos war allerdings vor allem der Umgang der Firma mit IT-Sicherheit:
       Jede Person, die sich auf der Website einen Account anlegte, konnte laut
       den Hacker-Gruppen [2][Chaos Computer Club (CCC)] und [3][Zerforschung]
       problemlos an sämtliche Daten anderer Getesteter gelangen. Jedem
       Testergebnis war demzufolge eine aufsteigende Nummer zugeordnet. Änderte
       man diese Zahl in der Browser-Adresszeile, konnte man sensible Daten
       anderer Getesteter einsehen: Name, Adresse, Geburtsdatum,
       Staatsbürgerschaft, Ausweisnummer sowie ein herunterladbares Testergebnis.
       
       Mit simplen Änderungen im Profil ließen sich offenbar sogar negative oder
       positive Testbefunde fälschen. Ebenso sei es mit ein bisschen Know-how
       möglich gewesen, Anzahl, Ausgang und den sekundengenauen Zeitpunkt von
       Tests auszulesen. Selbst Fotos von Teststreifen mit handschriftlichen Namen
       drauf seien herunterladbar gewesen.
       
       Die Website ist offenkundig nur schnell zusammen gestrickt worden, wie die
       Hacker:innen [4][zufällig nach einem Corona-Schnelltest in Berlin
       festgestellt haben]. Sie meldeten die schweren Sicherheitslücken umgehend
       den zuständigen Behörden.
       
       ## Sicherheitslücke bestand seit Februar
       
       Mittlerweile sollen die Lücken behoben worden sein, wie das für die Website
       zuständige Unternehmen Medicus AI auf taz-Anfrage mitteilte. Die Lücke habe
       nach einem „unglücklichen Bug“ seit dem 14. Februar bestanden. Die Firma
       habe sechs Zugriffe feststellen können, die sie auf Hacker:innen
       zurückführte, welche die Lücke entdeckten. Darüber hinaus habe es keine
       unberechtigten Zugriffe gegeben, wie die Firma behauptet. Alle Betroffenen
       seien informiert worden.
       
       Die Hacker:innen vom CCC haben da Zweifel: Getestete Freund:innen, deren
       Daten sie mit deren Einverständnis auf die beschriebene Weise einsahen,
       seien bisher nicht informiert worden, wie es in der CCC-[5][Mitteilung vom
       Donnerstag] heißt. „Die Schwachstellen waren offensichtlich und wir hoffen,
       dass sie nicht von anderen schon längst ausgenutzt wurden“, sagte ein
       Aktivist aus der Gruppe Zerforschung.
       
       Linus Neumann vom CCC sagte: „Dies ist nicht die erste und sicherlich nicht
       die letzte Sicherheitslücke in hastig gebastelter Corona-IT“. Schon im
       vergangenen Jahr seien immer wieder eklatante Schwachstellen in
       Corona-Systemen bekannt geworden – „wenn schon bei so einfachen Aufgaben
       katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen
       erstmal ihre Hausaufgaben machen“, kritisierte Neumann angesichts geplanter
       digitaler Impfnachweise.
       
       18 Mar 2021
       
       ## LINKS
       
 (DIR) [1] https://www.rbb24.de/politik/thema/corona/beitraege/2021/03/berlin-datenleck-schnelltests-21dx-medicus-ai.html
 (DIR) [2] https://www.ccc.de/de/updates/2021/corona-testergebnisse
 (DIR) [3] https://zerforschung.org/posts/medicus/
 (DIR) [4] https://zerforschung.org/
 (DIR) [5] https://www.ccc.de/de/updates/2021/corona-testergebnisse
       
       ## AUTOREN
       
 (DIR) Gareth Joswig
       
       ## TAGS
       
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Chaos Computer Club
 (DIR) Datenschutz
 (DIR) IT-Sicherheit
 (DIR) Dokumentarfilm
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Coronavirus
 (DIR) Datenschutz
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Doku über den Chaos Computer Club: Komputer und Lederhose
       
       Die Dokumentation „Alles ist eins. Außer der 0“ erzählt die Geschichte des
       Chaos Computer Clubs. Er liefert starkes Bild- und Tonmaterial.
       
 (DIR) Dritte Pandemiewelle in Deutschland: AstraZeneca wird wieder verimpft
       
       Wegen stark steigender Infektionszahlen wächst der Druck, Lockerungen
       zurückzunehmen. Arztpraxen könnten früher eingebunden werden.
       
 (DIR) Datenschützer über digitalen Impfpass: „Kein Ticket ins normale Leben“
       
       Die EU-Kommission glaubt, durch den digitalen Impfpass einen Weg zurück in
       die Normalität zu finden. Datenschutzexperte Thomas Lohninger widerspricht.
       
 (DIR) Coronapolitik der Bundesregierung: Made in Germany
       
       Die Deutschen können gut organisieren? In der Coronakrise zeigt sich mal
       wieder, dass das Klischee nicht stimmt. Eine Bilanz nach einem Jahr
       Pandemie.
       
 (DIR) Die Gefahren des digitalen Impfpasses: Zutritt nur für Gesunde
       
       Was passiert, wenn Gesundheit ausweispflichtig wird? Warum der digitale
       Impfpass zu einer verstärkten Biologisierung der Gesellschaft führen
       könnte.