Sicherheitslücken in Corona-Testzentren: Schwache Passwörter, lückenhafte Verschlüsselung und kein zweiter Faktor
Das Hackerkollektiv „Zerforschung“ hat Ende Juni – bereits zum wiederholten Male – gravierende Sicherheitslücken bei deutschen Corona-Testzentren aufgedeckt. Die Spezialisten hatten nach eigenen Angaben keine Mühe, sich Zugriff auf 174.000 Datensätze zu verschaffen, darunter Buchungsbestätigungen sowie streng vertrauliche, personenbezogene Daten wie Name, Geschlecht, Anschrift, Telefonnummer, E-Mailadresse und Geburtsdatum der Patienten. Selbst Testergebnisse und in einigen Fällen sogar die Ausweisnummer der Betroffenen lagen den Angreifern vor.
Massive Sicherheitslücken in Corona-Testzentren – wie konnte das passieren?
Die Passwörter der Accounts wurden geradezu schlampig generiert und darüber hinaus noch ungesichert übermittelt: In aufsteigender Reihenfolge wurden von der im Einsatz befindlichen Software „Coronapoint“ Passwörter aus den Zahlen 0-9 sowie aus den Buchstaben A-F zusammengesetzt. Die Hacker hatten somit leichtes Spiel, massenhaft Patientendaten einsehen zu können. Damit ist Coronapoint bereits die fünfte Testzentren-Software, aus der die Hacker ohne großen Aufwand große Mengen persönlicher Daten abrufen konnten. Und auch anderen sind die Sicherheitslücken bereits aufgefallen, wie Medienberichten u.a. auf heise und Golem zu entnehmen ist.
Das BSI bezeichnete den Vorfall als „gravierendes IT-Sicherheits- und Datenschutzproblem“. Betroffen sind 34 Testzentren des Betreibers PAS Solutions in vier Bundesländern. „Zerforschung“ vermutet hinter der Sicherheitslücke auch mangelndes Personal in den für die Aufsicht zuständigen Behörden.
Die Lösung: Konsequente Verschlüsselung, starke Passwörter und Zwei-Faktor-Authentifizierung
Die Bewertung eines Vorfalls im Nachgang ist eine vermeintlich einfache Disziplin. Mit Kenntnis der genauen Vorgangsweise der Hacker und der Schwachstellen in der betroffenen IT-Struktur können Sicherheitsexperten schnell Gegenmaßnahmen formulieren.
Doch in diesem Fall ist es nicht dem Einfallsreichtum der „Angreifer“ zuzurechnen, dass die Patientendaten entwendet werden konnten. Hier fehlte es schlicht und ergreifend an der Einhaltung simpler und grundlegender Prinzipien der Datensicherheit. Vor allem die unbedachte Generierung allzu simpler Passwörter machten es den Hackern leicht, die Passwörter mit Hilfe von Brute Force zu „erraten“. Abgesehen davon sollten sensible digitale Informationen wie personenbezogene Daten grundsätzlich niemals im Klartext kommuniziert werden. Andernfalls sind sie Cyberkriminellen offensichtlich schutzlos ausgeliefert. Und auch das Fehlen eines zweiten Faktors bei der Nutzer-Authentisierung spielt Angreifern in die Hände. Dabei sollte der Identitätsnachweis mittels der Kombination mehrerer unterschiedlicher und unabhängiger Komponenten inzwischen längst Gang und Gäbe sein. Das gilt gerade dann, wenn es um den Schutz personenbezogener Daten geht!
Geschäftsfelder, die mit besonders sensiblen Daten (zu denen eben auch Patientendaten gehören) operieren, sollten daher unter allen Umständen auf eine lückenlose Verschlüsselung ihrer Daten setzen – und zwar ausnahmslos! Denn der damit verbundene zusätzliche Aufwand steht in keinem Verhältnis zu dem Risiko, das ohne sie eingegangen wird. Und das meist auch noch ohne Kenntnis der betroffenen Patienten oder Kunden. So wurden laut „Zerforschung“ selbst mehr als eine Woche nach Bekanntwerden der Sicherheitslücke die Betroffenen nicht vom Betreiber informiert.
Die Digitalisierung steht und fällt mit dem Datenschutz
Um der Digitalisierung des öffentlichen Lebens – einschließlich Behördengänge, Arztbesuche oder zukünftig auch Wahlen – zum Erfolg zu verhelfen, benötigt es die Akzeptanz aller Nutzer. Um auch die letzten Skeptiker von den Vorzügen digitaler Lösungen zu überzeugen, sollten sich Vorfälle wie dieser nicht wiederholen. Die Realität sieht leider anders aus und es vergeht kaum eine Woche ohne neuen Datenvorfall. Die Folgen für den Fortschritt der Digitalisierung sind dementsprechend fatal.
Gerade in Zeiten, da immer mehr Betriebe und sogar streng regulierte Branchen ihre Daten in die Cloud migrieren, sind vertrauensbildende Maßnahmen der IT-Sicherheit von größter Bedeutung. Die grundsätzliche Verschlüsselung bei der Übertragung, Speicherung und Verarbeitung von sensiblen Daten ist dabei genauso als nicht diskutierbare Grundlage zu sehen wie der flächendeckende Einsatz starker Passwörter und der Zwei-Faktor-Authentifizierung.
Wie Confidential Computing dabei helfen kann, Patientendaten gegen unerwünschte Zugriffe zu schützen, erfahren Sie in diesem Blogbeitrag: Elektronische Gesundheitskarte und die Sealed Cloud | privacyblog (idgard.de)