In einer Datenbank von privaten Covid-19-Testzentren sind Gesundheitsdaten vorübergehend Sicherheitsrisiken ausgesetzt gewesen. Das hat der Eidgenössische Datenschutzbeauftragte (Edöb) festgestellt. Weil die Verantwortlichen angemessen reagiert haben, wird das Verfahren ohne Empfehlungen abgeschlossen.
Eine Privatperson hatte den Datenschutzbeauftragten und das Nationale Zentrum für Cybersicherheit (NCSC) informiert, dass es bei der Datenbank an der Zugriffskontrolle mangle, wie es in einer Mitteilung des Edöb heisst. Diese Meldung vom November 2022 löste die Abklärungen aus.
Kopie der Daten heruntergeladen
Die gespeicherten Gesundheitsdaten stammten von privaten Covid-19-Testzentren mit mehreren Standorten in der Schweiz und in angrenzenden Ländern. Die Privatperson, die den Vorfall gemeldet hatte, hatte sich aufgrund einer Schwachstelle des Webservers Zugang zur Datenbank verschafft und eine Kopie der vorhandenen Daten heruntergeladen: 873'000 Tests aus Österreich, 133'000 aus der Schweiz und 19'000 aus dem Fürstentum Liechtenstein.
Noch am Tag der Meldung wurde die Datenbank vom Server genommen und auf einen verschlüsselten physischen Datenträger verschoben. Bei seinen Abklärungen stellte der Edöb verschiedene Mängel in Bezug auf die Datensicherheit fest.
Auf dem Webserver sollen ".env"-Dateien frei zugänglich gewesen sein, in denen Username und Passwort für die Datenbank enthalten waren. Laut Systembetreiber waren die Informationen rund 39 Tage exponiert gewesen, da nach einer Systemwartung ein Microservice nicht mehr gestartet worden war. Der Datenschützer monierte zudem die fehlende 2-Faktor-Authentifizierung und die unverschlüsselte Verbindung zur Datenbank.
Anhand der Protokolle der Zugriffe konnte die für die Testzentren verantwortliche Person aber nachweisen, dass kein weiterer unbefugter Zugriff auf die Datenbank stattgefunden hatte, als jene des Entdeckers der Lücke. Und weil umgehend Massnahmen ergriffen wurden, bestand für die betroffenen Personen kein Risiko mehr.
System mit Bezug zum Ausland
Der Datenschutzbeauftragte hat das Verfahren nun abgeschlossen, und er verzichtet auf Empfehlungen. Den Ausschlag gaben laut seinen Angaben die schnelle und angemessene Reaktion der Zuständigen und der Umstand, dass die Testzentren schon einige Zeit vor dem Bekanntwerden der Schwachstelle den Betrieb eingestellt hatten.
Der Eidgenössische Datenschützer tauschte sich bei seinen Abklärungen mit verschiedenen Behörden aus, namentlich mit den Datenschutzbehörden von Österreich und Liechtenstein. Grund war, dass das untersuchte System einen Bezug zu diesen Ländern hatte.
In den Worten des Datenschutzbeauftragten zeigt der Fall, dass Schwachstellen in Datenbanken zu Risiken führen. Umgekehrt hätten aber dank der Sofortmassnahmen und dem Protokollieren der Zugriffe auf die Daten weitere Risiken für die Betroffenen ausgeschlossen werden können.
Der Schlussbericht des EDÖB (PDF) findet sich auf dessen Website.