Einsehbare Drogentests
Eine Sicherheitslücke erlaubte Zugriff auf Befunde
Beim Labor „Drogentest Wien“kann man nach einem Test die Ergebnisse online abrufen – jedoch beinhaltet die Abfrage ein massives Datenschutzproblem.
Wien – „Ein komplettes Drogenscreening für nur 54 Euro.“So wirbt das Wiener Labor „Drogentest Wien“um Kunden, die für Beruf oder Behörden einen entsprechenden Befund benötigen. Das Unternehmen wollte es den eigenen Kunden besonders einfach machen, ihr Ergebnis zu erhalten – es kann über das Internet abgerufen werden. Nach Recherchen des STANDARD hat die dafür vorgesehene Online-Abfrage allerdings ein massives Datenschutzproblem: Sie machte alle gespeicherten Befunde öffentlich zugänglich. Wie viele Nutzer betroffen sind, ist derzeit noch nicht absehbar.
Download für jedermann
Ist der Befund fertiggestellt, erhalten Kunden eine achtstellige Nummer, über welche sich das Analyseergebnis in Form einer PDF-Datei downloaden lässt. Das Problem: Es gab kein zweites Sicherheitsmerkmal – etwa in Form eines PINs oder Passworts. Dadurch war es möglich, durch die Eingabe von beliebigen Zahlen zufällig die Testergebnisse fremder Personen zu sichten. Diese beinhalten neben dem Ergebnis selbst auch weitere sensible Daten wie Name, Geburtsdatum, die Auftraggeber des Tests, die Nummer eines Lichtbildausweises. Auch anonyme Checks werden angeboten.
der STANDARD konnte das Leck nachvollziehen und zahlreiche Befunde abrufen, wobei in den meisten Fällen einfach die Abänderung einer Ziffer genügte, um einen weiteren Befund zu finden. Die verfügbaren Informationen lassen sich vielfältig für Onlinebetrug oder Identitätsklau missbrauchen. Zudem ist es mit den Angaben relativ leicht, die Betroffenen auf sozialen Medien aufzuspüren und so weitere Informationen zu gewinnen.
Nach dem Hinweis auf dieses Datenschutzproblem hat Drogentest Wien das Abfragesystem am Dienstagnachmittag offline genommen. Man erklärt dazu, dass der Abruf fremder Ergebnisse durch einen einfachen Zifferntausch aufgrund eines Fehlers im Generator möglich war, der die Befundnummern erzeugt. Gegen massenhafte Abfragen sei man geschützt gewesen. Nun will man eine neue Lösung erarbeiten, die aktuellen Sicherheits- und Datenschutzstandards entspricht. Zeitgleich waren im System jeweils 500 Befunde abrufbar. Der Onlineabruf war zumindest seit 2014 möglich.
Kunden müssen ihre Ergebnisse in der Zwischenzeit vor Ort im Labor abholen, heißt es in einem Hinweis auf der Website. Die Firma „bedauert, dass es zu dieser Sicherheitslücke gekommen ist“.
Mit der vorläufigen Abschaltung der Abfrage entspricht man auch den Vorgaben der Datenschutzgrundschutzverordnung. Diese sieht vor, dass Lücken ab Kenntnis schnellstmöglich behoben und binnen 72 Stunden bei der Datenschutzbehörde gemeldet werden müssen. Außerdem sind Betroffene umgehend in Kenntnis zu setzen. Direkt informieren könne man die Kunden aber nicht, erklärt die Firma, da man keine Kontaktdaten speichern würde.