Daten privater Covid-Testzentren waren vorübergehend gefährdet

28. April 2023 um 14:09
  • security
  • coronavirus
  • datenschutz
  • edöb
image

Da die Datenbank inzwischen ausser Betrieb ist und der Besitzer sofort gehandelt hat, spricht der Eidgenössische Datenschützer keine Empfehlungen aus.

In einer Datenbank von privaten Covid-19-Testzentren sind Gesundheitsdaten vorübergehend Sicherheitsrisiken ausgesetzt gewesen. Das hat der Eidgenössische Datenschutzbeauftragte (Edöb) festgestellt. Weil die Verantwortlichen angemessen reagiert haben, wird das Verfahren ohne Empfehlungen abgeschlossen. Eine Privatperson hatte den Datenschutzbeauftragten und das Nationale Zentrum für Cybersicherheit (NCSC) informiert, dass es bei der Datenbank an der Zugriffskontrolle mangle, wie es in einer Mitteilung des Edöb heisst. Diese Meldung vom November 2022 löste die Abklärungen aus.

Kopie der Daten heruntergeladen

Die gespeicherten Gesundheitsdaten stammten von privaten Covid-19-Testzentren mit mehreren Standorten in der Schweiz und in angrenzenden Ländern. Die Privatperson, die den Vorfall gemeldet hatte, hatte sich aufgrund einer Schwachstelle des Webservers Zugang zur Datenbank verschafft und eine Kopie der vorhandenen Daten heruntergeladen: 873'000 Tests aus Österreich, 133'000 aus der Schweiz und 19'000 aus dem Fürstentum Liechtenstein.
Noch am Tag der Meldung wurde die Datenbank vom Server genommen und auf einen verschlüsselten physischen Datenträger verschoben. Bei seinen Abklärungen stellte der Edöb verschiedene Mängel in Bezug auf die Datensicherheit fest.
Auf dem Webserver sollen ".env"-Dateien frei zugänglich gewesen sein, in denen Username und Passwort für die Datenbank enthalten waren. Laut Systembetreiber waren die Informationen rund 39 Tage exponiert gewesen, da nach einer Systemwartung ein Microservice nicht mehr gestartet worden war. Der Datenschützer monierte zudem die fehlende 2-Faktor-Authentifizierung und die unverschlüsselte Verbindung zur Datenbank. Anhand der Protokolle der Zugriffe konnte die für die Testzentren verantwortliche Person aber nachweisen, dass kein weiterer unbefugter Zugriff auf die Datenbank stattgefunden hatte, als jene des Entdeckers der Lücke. Und weil umgehend Massnahmen ergriffen wurden, bestand für die betroffenen Personen kein Risiko mehr.

System mit Bezug zum Ausland

Der Datenschutzbeauftragte hat das Verfahren nun abgeschlossen, und er verzichtet auf Empfehlungen. Den Ausschlag gaben laut seinen Angaben die schnelle und angemessene Reaktion der Zuständigen und der Umstand, dass die Testzentren schon einige Zeit vor dem Bekanntwerden der Schwachstelle den Betrieb eingestellt hatten. Der Eidgenössische Datenschützer tauschte sich bei seinen Abklärungen mit verschiedenen Behörden aus, namentlich mit den Datenschutzbehörden von Österreich und Liechtenstein. Grund war, dass das untersuchte System einen Bezug zu diesen Ländern hatte. In den Worten des Datenschutzbeauftragten zeigt der Fall, dass Schwachstellen in Datenbanken zu Risiken führen. Umgekehrt hätten aber dank der Sofortmassnahmen und dem Protokollieren der Zugriffe auf die Daten weitere Risiken für die Betroffenen ausgeschlossen werden können.
Der Schlussbericht des EDÖB (PDF) findet sich auf dessen Website.

Loading

Mehr erfahren

Mehr zum Thema

image

Schweizer Industriekonzern Hoerbiger von Ransom­ware getroffen

Hacker haben Daten von der Holdinggesellschaft gestohlen und verschlüsselt. Zeitweise musste deswegen die Produktion unter­brochen werden.

publiziert am 22.8.2024
image

Slack-KI bietet "Support" für Cyberkriminelle

Angreifer können dank Künstlicher Intelligenz über eine Sicherheitslücke an sensible Daten kommen, sogar aus Privatnachrichten.

publiziert am 22.8.2024
image

Bund arbeitet für Cybersicherheit enger mit EU zusammen

Der Bundesrat genehmigt die Mitgliedschaft bei der European Cyber Security Organisation sowie die Mitwirkung an einem EU-Projekt für gemeinsame Cyberverteidigung.

publiziert am 21.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024