Ein Informatiker konnte auf die Datenbank von mehreren Covid-Testcentren zugreifen. Die Daten waren zwar verschlüsselt, das Passwort allerdings öffentlich einsehbar.
Wie eine gemeinsame Recherche von 'Watson'und 'DNIP' zeigt, hat ein St. GallerHausarzt, der während der Covid-19-Pandemie mehrere Testcenter in der Schweiz, Liechtenstein und Österreich betrieben hat, die sensiblen Gesundheitsdaten seiner Kundschaft nicht ausreichend geschützt. Ein Schweizer Informatiker konnte ohne grosses Fachwissen auf die gespeicherten Informationen zugreifen. Dabei seien die Daten zwar verschlüsselt, das Passwort dazu aber öffentlich einsehbar gewesen, schreibt das Onlinemagazin.
Die Zugangsdaten für die Websysteme der Testcenter wurden in einer Konfigurationsdatei gesammelt, die frei zugänglich war, schreibt 'Watson' weiter. Wenn Entwicklerinnen oder Programmierer bestimmte Passwörter abspeichern wollen, dann landen diese häufig in sogenannten ".env"-Dateien. Dieses Format hat bestimmte Vorteile, die aber nur dann greifen, wenn die Datei besonders gut vor unbefugten Zugriffen geschützt ist. Beim betroffenen Testcenter sei dies nicht der Fall gewesen.
Die Login-Daten waren frei einsehbar. Foto: Watson
Aufgefallen war die Sicherheitslücke einem jungen Informatiker aus der Schweiz. Dieser nahm sich vor, das Internet nach Webseiten mit krassen Sicherheitslücken abzusuchen. Dazu habe er sich eine Liste aller .ch-Webadressen heruntergeladen und automatisiert nach ".env"-Konfigurationsdateien gesucht, schreibt 'Watson'. Neben den Zugangsdaten für die Datenbank der Testcenter stiess er im Zuge seiner Recherche auch noch auf ein paar Hundert weitere Funde.
"Arzt und kein IT-Dienstleister"
Über 1 Million Covid-Testdaten lagerten auf dem Server. "Ich alarmierte nach dem Treffer die relevanten Stellen beim Bund. Das Leck wurde noch am selben Tag geschlossen", sagte der anonyme Informatiker gegenüber 'Watson'. Nun wurde der Vorfall 6 Wochen nach der Behebung der Sicherheitslücke publik gemacht. Der Informatiker übergab seine Dateien dem Eidgenössischen Datenschützer und vernichtete eigenen Angaben zufolge alle Spuren auf seinem Rechner. "Ich hoffte, dass Lehren aus diesem Vorfall gezogen werden können", sagte er zum Onlinemagazin.
Der beschuldigte Mediziner hat gegenüber 'Watson' ebenfalls Stellung zum Vorfall genommen. Er bezeichnet die Darstellung, wonach die Daten frei einsehbar gewesen waren, als "unwahre Behauptung". Gemäss ihm sei ein Hacker in die Datenbank eingedrungen. "Die Datenbank wurde umgehend offline genommen, weshalb keine weiteren Zugriffe möglich waren", schreibt er in seiner Antwort. Darin merkt er auch an, dass er "Arzt und kein IT-Dienstleister" sei.