Teststraßen ohne Datenschutz
Sensible Daten waren schlecht geschützt im Netz
Wien – Wer sich im Wiener AustriaCenter auf Covid-19 testen ließ, konnte leicht einen Blick auf die Zugangsdaten erhaschen, mit denen Mitarbeiter sensible Daten wie die Adresse oder die Sozialversicherungsnummer abrufen. Diese waren neben den Computern in der Halle offen abgelegt und gut lesbar. Die Qualität der Passwörter ließ überhaupt aufgrund einer hohen Übereinstimmung mit den Nutzernamen zu wünschen übrig. Die Stadt Wien hat nach einem Hinweis des STANDARD nun umfassende Änderungen angekündigt. (red)
Wer sich in der Corona-Teststraße im Austria Center in der Wiener Donaustadt auf Covid-19 testen ließ, hatte bis vor kurzem leichte Sicht auf die Zugangsdaten jener Accounts, mit denen die Mitarbeiter auf Befunde zugreifen. Direkt neben zahlreichen PCs waren sie auf Zetteln zu finden. Sie lieferten einen Eintritt in die Web-App der Stadt Wien, in der die sensiblen Daten, darunter etwa die Adresse und die Sozialversicherungsnummer, verarbeitet werden. Die Stadt Wien hat, nachdem sie der STANDARD auf die enormen Datenschutzmängel aufmerksam gemacht hat, eine grundlegende Überarbeitung des Sicherheitskonzepts angekündigt.
Noch leichter war der Zugriff auf die Daten für all jene, die schon einmal dort gearbeitet haben. Die Passwörter seien nämlich bisher noch nie geändert worden, sagt ein Hinweisgeber, der anonym bleiben wollte, dem STANDARD. Jede Person, die bereits dort gearbeitet hat, kannte sie also. Das System ist im Internet verfügbar, was einen Log-in auch von außen erlaubte – und damit ein Zugriff auf die Daten der mehr als 200.000 Testungen. Der Hinweis ließ sich bei einem Lokalaugenschein am Samstag bestätigen. Während die Begleitung ihr Testergebnis ausdrucken ließ, konnten die entsprechenden Zettel auf mehreren Tischen eingesehen werden. Um sie lesen zu können, musste man sich nur wenige Schritte nähern. Die Schalter, die die Mitarbeiter von Patienten mit einer Glaswand trennen, sind auf zwei Reihen aufgeteilt. Stand ein Besucher vor dem Schalter in der hinteren Reihe, musste er sich bloß umdrehen, um alles, was auf einem der Tische lag, zu sehen. Wer sich mit Begleitung testen ließ, konnte die Zugangsdaten in der Zeit, in der er auf den anderen warten musste, zufällig entdecken.
Zugriff aus dem Netz möglich
Ein Mitarbeiter hatte die Autorin dieses Berichts zwar bemerkt, nachdem diese zu einem Tisch gegangen war und dort verweilte. Er bat, auf der Seite zu bleiben – in der Zwischenzeit hätte sich aber ein diskretes SmartphoneFoto erstellen lassen. Wer noch einen Blick auf die eingeschalteten Computer warf, sah auch den Link zu der zugehörigen Web-App. Über 210.000 Antigentests und mehr als 1000 PCRTests, also sämtliche in der Teststraße erfassten Daten seit November des vergangenen Jahres, konnten mit den Zugangsinformationen ausgelesen werden. Wer sich testen lässt, muss seinen Namen, sein Geburtsdatum, seine Sozialversicherungsnummer, seine Adresse sowie eine Telefonnummer oder eine EMail-Adresse angeben. Diese Informationen waren auf der Seite ersichtlich sowie auch das
Testergebnis im Fall der mehr als 210.000 Antigentests. Zumindest 60 Mitarbeiter würden an einem Tag darauf zugreifen, sagt der Hinweisgeber. Ein Zugriff war ohne weiteres möglich, eine weitere Sicherheitsprüfung gab es bis zuletzt nicht. Dabei wäre gerade bei der Sensibilität der Daten etwa eine Zweifaktorauthentifizierung angemessen – in einem solchen Fall müsste man den Log-in zusätzlich bestätigen, etwa durch einen Code, der per SMS versandt wird. Da die Mitarbeiter in der Teststraße keine personalisierten Accounts haben, wäre es für die Stadt Wien nicht möglich nachzuvollziehen, wie genau es zu einem Datendiebstahl gekommen war.
Die allgemeine Qualität der Passwörter dürfte auch für Angreifer von außen, die keine Einsicht auf Zettel im Austria Center hatten, als nicht besonders komplex gewertet werden, da
Benutzername und Passwort zu einem guten Teil ident waren. Zudem waren die Log-in-Informationen für alle Konten lediglich durchnummeriert. Ein Beispiel: Lautete der Benutzername eines Kontos „Teststraße1“und das Passwort „Teststraße1#Zusatz“, war es bei einem weiteren schlicht „Teststraße2“beziehungsweise „Teststraße2#Zusatz“und so weiter. Wer also die Zugangsdaten für einen der dutzenden Accounts hatte, konnte auf alle zugreifen. „Das Missbrauchspotenzial dieses Datenskandals ist kaum zu ermessen“, kritisiert Thomas Lohninger von der Grundrechts-NGO Epicenter Works. „Mit so umfänglichen Informationen sind Identitätsdiebstahl, Erpressung oder der Verkauf an Adresshändler für Kriminelle kinderleicht. Zum Glück wandte sich ein Informant an den STANDARD, sonst wäre dieser Missstand andauernd.“Der Kritik stimmt auch Horst Kapfenberger von der DatenschutzNGO Noyb zu: „Ich frage mich, warum man die Benutzeranmeldung nicht gleich weglässt. Viel bringt sie in dieser Form nicht mehr.“Es sei zu hoffen, dass es zu keinem Datendiebstahl gekommen sei – „sofern die Betreiber das überhaupt erkennen können“.
Wie der STANDARD zudem erfuhr, hatte es in der Oberfläche von 21. Jänner bis 22. Jänner
am frühen Nachmittag eine Schaltfläche gegeben, die es erlaubte, die Daten aller bisher getesteter Personen als Excel-Tabelle herunterzuladen. Diese Datei liegt vor. Bei dieser Funktion habe es sich aber um einen Bug gehandelt, heißt es vonseiten der Stadt Wien. Doch auch ohne die Schaltfläche gestaltete sich die Web-App aus Datenschutzperspektive äußerst problematisch: Sämtliche der über 200.000 Antigentests und mehr als 1000 PCRTests konnten auch ohne Download in der Oberfläche eingesehen werden. Auf einer Seite werden nach Wunsch bis zu 100 Tests angezeigt, dann konnten Nutzer auf die nächste wechseln. Wurden nicht anhand der Bearbeitungsfunktion weitere Details abgerufen, waren zumindest der Barcode für den Antigentest, das Testdatum, der Name, die Sozialversicherungsnummer sowie die E-MailAdresse und die Telefonnummer ersichtlich. Einzelne Felder ließen sich mit einer Schaltfläche kopieren. Bearbeitete man einen Datensatz, war auch die Adresse sichtbar.
Änderungen angekündigt
Für einen Angreifer wäre es ein Leichtes gewesen, diese anhand eines einfachen Computerprogramms zu extrahieren und abzuspeichern. Und selbst technisch weniger kundige Nutzer konnten einfach mittels der Kopierenund Einfügenfunktion Daten abgreifen. So wäre es wohl in wenigen Minuten möglich gewesen, die Informationen von tausenden Getesteten zu stehlen. Doch auch die IT-Sicherheit der Geräte in der Halle selbst lässt zu wünschen übrig: So ist es ohne weiteres möglich, einen USB-Stick an die Geräte anzuschließen und Daten abzugreifen. Begründet wird das damit, dass nur so die Drucker betrieben werden könnten. Lohninger dazu: „Das ist ein lächerliches Argument, schließlich gibt es Netzwerkdrucker.“
Die Stadt Wien kündigte als Reaktion umfassende Änderungen an. Die Passwörter wurden geändert, zudem soll eine Zweifaktorauthentifizierung eingeführt werden. Auch sollen Mitarbeiter künftig nur noch Daten einsehen können, die einen Tag alt sind. Weiters dürften Kennwörter nicht neben den Arbeitsplätzen liegen. Damit dürfte sich der Datenschutz bessern, allerdings bleibt das System im Netz: Der Link zur Web-App sei nämlich „nur einem definierten Adressatenkreis“bekannt. Für Lohninger ist das eine Begründung, „die weit weg von jeder Realität ist“. So könne man die einzelnen Einrichtungen via IP-Adresse freischalten, anstatt „das gesamte Internet inklusive Russland, China und NSA zugreifen zu lassen“. Für ihn wirkt es so, als habe die Stadt Wien „bei ihrem Testsystem komplett auf den Datenschutz vergessen“.
„Lautete der Benutzername eines Kontos ‚Teststraße1‘ und das Passwort ‚Teststraße1#Zusatz‘, war es bei einem weiteren schlicht ‚Teststraße2‘ bzw. ‚Teststraße2#Zusatz‘.“