PCR-Testzentren: Persönliche Daten per Google Docs veröffentlicht

Mehrere Corona-Testzentren in Bayern haben ihre PCR-Tests über öffentlich geteilte Google-Docs-Tabellen organisiert. Wer die Links kannte, konnte die persönlichen Daten der Getesteten einsehen, darunter die Termine, Namen, Adressen, Geburtsdaten und Telefonnummern. Die Testergebnisse finden sich jedoch nicht in den Dokumenten.

Betroffen sind laut dem Onlinemagazin T-Online Testzentren des Arbeiter-Samariter-Bundes (ASB) im Landkreis Forchheim sowie des gemeinsamen Zentrums der Stadt Erlangen und des Landkreises Erlangen-Höchstadt. In Erlangen seien 160 bis 320 Termine am Tag vergeben worden, in Forchheim bis zu 100. Die aktuell verfügbaren Dokumente hätten abgeschlossene und vereinbarte Termine von Anfang bis Ende Juni umfasst, berichtet das Onlinemagazin. Insgesamt liegen dem Magazin listen mit über Tausend Betroffenen vor.

Die Terminvergabe in den Testzentren organisiert der ASB über den Callcenter-Betreiber Abravo. Der nimmt die Anrufe über zwei 0800er-Nummern für die Testzentren entgegen und vergibt anschließend Termine für die PCR-Tests, wobei die Daten der Betroffenen erfasst werden. Anfangs seien nur einzelne Angestellte für das Lesen und Bearbeiten der Tabellen freigeschaltet worden, erklärte Mario Ostroski, Leiter der Business Unit von Abravo. Demnach waren die Dokumente anfangs nicht öffentlich einsehbar.

Doch die freigeschalteten Bearbeiter konnten auch die Rechte der Dateien bearbeiten - und änderten die Freigabe. Das lässt sich zwar in den Google-Einstellungen verbieten, die entsprechende Option wurde jedoch offensichtlich nicht gesetzt. Laut dem Bericht schloss der Callcenter-Manager nicht aus, dass ein Angestellter die Freigabe geändert und den Link weitergegeben hat, um dem Unternehmen oder den Testzentren zu schaden.

Kurz nach einer Anfrage des Onlinemagazins waren die Dokumente nicht mehr abrufbar. Die Terminvorgabe wurde demnach zunächst ausgesetzt.

Viele Datenlecks bei Schnelltestzentren

Es ist nicht das erste Datenleck bei Testzentren. Die Forschergruppe Zerforschung hat bereits in vier Corona-Testzentren teils triviale Sicherheitslücken entdeckt. Zuletzt beim Testzentrumsbetreiber Medican, dem zudem vorgeworfen wird, erheblich mehr Schnelltests abgerechnet als durchgeführt zu haben.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bereits zuvor hatte Zerforschung drei umfangreiche Datenlecks in verschiedenen Corona-Testzentren aufgedeckt. Meist konnten sowohl die Testergebnisse als auch persönlichen Daten wie Name, Adresse, Geburtsdatum, E-Mail-Adresse und Telefonnummer eingesehen werden.

"Der Schutz von Gesundheitsdaten darf nicht auf die leichte Schulter genommen werden", betonte die Forschergruppe. "Unternehmen müssen hier ihrer Schutz- und Sorgfaltspflicht vor dem Start nachkommen - und wenn sie dies nicht können, dann haben sie in diesem Bereich nichts verloren."