Schnelltests: Corona-Selbsttests von Aldi mit wertlosen Zertifikaten

Der seit kurzem beim Discounter Aldi erhältliche Corona-Schnelltest Aesku Rapid, soll nicht nur anzeigen, ob man sich mit dem Coronavirus infiziert hat, sondern liefert über ein digitales Zertifikat auch einen Negativ-Nachweis. Dieses kann beispielsweise beim Besuch eines Friseurs oder einer Kulturveranstaltung vorgezeigt werden, wirbt der Anbieter.

Stellenmarkt

1. Elkamet Kunststofftechnik GmbH, Biedenkopf
2. dm-drogerie markt GmbH + Co. KG, Karlsruhe

Über einen aufgedruckten QR-Code kann sich jedoch jeder schon im Laden Zertifikate ausstellen lassen - ohne den Test überhaupt durchzuführen oder zu kaufen. Das ist allerdings nur eines von mehreren Problemen am Design und der technischen Umsetzung der Negativ-Zertifikate.

Die Werbung auf der Aesku-Rapid-Webseite will wieder "Normalität in den Alltag" bringen. Das ausgestellte Zertifikat könne als "Eintrittskarte" dienen. Um ein solches zu erhalten, muss ein QR-Code auf der Packung gescannt werden, der eine 128 Bit lange ID enthält. Anschließend muss auf der Webseite ichtestemichselbst.de bestätigt werden, dass man den Test durchgeführt hat und er negativ ausgefallen ist - ob das wirklich der Fall ist, wird nicht überprüft.

Das Zertifikat soll "zur Legitimierung in Geschäften für die nächsten sechs Stunden" gelten, heißt es auf der Webseite, wie die Deutsche Apotheker Zeitung berichtet. Man wird aufgefordert, seine Ausweis- oder Führerscheinnummer einzugeben. Anschließend wird eine PDF-Datei generiert, die als Nachweis dienen soll.

Über dieses Prozedere kann sich im Prinzip jede Person, die im Laden oder in einem Unboxing-Video auf Youtube den entsprechenden QR-Code scannt, ein Zertifikat ausstellen lassen. Diese sind jedoch auf die Anzahl der Tests in der Packung (Beispielweise 5er oder 20er) beschränkt - die Person, die die Packung kauft, kann unter Umständen entsprechend weniger Zertifikate ausstellen.

Zertifikate auch ohne QR-Code und ein Datenleck

Doch nach einer Recherche des Magazins Ct steckt die 128 Bit lange ID nicht nur im QR-Code, sondern wird neben der Ausweis- oder Führerscheinnummer auch auf jedem ausgestellten Zertifikat angegeben. Es reicht also aus, ein entsprechendes Zertifikat zu sehen, um sich selbst weitere Online-Bescheinigungen aus der gleichen Packung auszustellen zu lassen. Das ist laut Ct bis heute möglich.

Obendrein war es möglich, die ausgestellten Zertifikate von Dritten abzurufen, da die Download-URL als einzige Variable den Zeitpunkt der Erstellung als Unix-Timestamp verwendete. Durch Ausprobieren konnte Ct die fremden Zertifikate abrufen - inklusive personenbezogener Daten, die einige Selbsttester in die Formulare eingetragen hatten, insbesondere die Ausweis- oder Führerscheinnummer. Ein Datenleck.

Zudem verstößt die Aesku Diagnostics GmbH offensichtlich gegen ihr eigenes Datenschutzversprechen: "Die eingegebene Personalausweisnummer oder die Führerscheinnummer werden sofort verschlüsselt und sind nicht mehr reproduzierbar", heißt es auf der Webseite. Doch auf den abrufbaren Zertifikaten waren diese Daten einsehbar - auch auf längst abgelaufenen. Obendrein ließen sich auch hier die IDs auslesen und damit weitere Zertifikate ausstellen.

Ct meldete die Probleme an den Datenschutzbeauftragten Aesku Diagnostics GmbH. Dort wurde der Vorfall als meldepflichtig eingestuft und die Zertifikats-URL mit der ID statt einem Unix-Timestamp als Variable versehen. Die anderen Probleme bleiben jedoch weiterhin bestehen. So müsste für das Problem mit dem QR-Code das Verpackungsdesign geändert werden.

Als Eintrittskarte bleibt der Test jedoch auch ohne die technischen Probleme fragwürdig, setzt er doch einzig auf Angaben der Personen und prüft in keiner Weise, ob der Test negativ ausgefallen oder überhaupt durchgeführt worden ist.