Das Startup 21DX ist der größte Corona-Schnelltest-Anbieter in Berlin. Eine Analyse des IT-Kollektivs "Zerforschung" und des Chaos Computer Clubs, die unter anderem rbb|24 vorliegt, zeigt jetzt: Das Unternehmen hatte zeitweise eine schwerwiegende Sicherheitslücke.
 
Um an die Daten zu kommen, brauchte man laut der Analyse nicht viel. Der Authentifizierungsschlüssel konnte mit ein bisschen Know-how aus dem Browser ausgelesen werden. Und indem man die URL ein wenig veränderte, konnte man für jede getestete Person eine Art Attest abrufen. Bei tausenden Getesteten konnten so unter anderem Daten wie Name, Geburtsdatum, Anschrift, Handynummer, E-Mail-Adresse, Datum und Uhrzeit der Probenentahme und Befund ausgelesen werden.

Datenleck bestand seit Mitte Februar

Martina Steiner-Samwer, die Geschäftsführerin von 21DX, bestätigte die Sicherheitslücke. Die österreichische Firma Medicus AI, die die Software für 21DX bereitstellt, bestätigte das Leck ebenfalls, betonte aber, dass man die Sicherheitslücke bereits geschlossen habe. Allerdings hat diese wohl schon seit "Mitte Februar", so Angaben von Medicus AI, bestanden.
 
Die Sicherheitsforscher von "Zerforschung" und CCC gehen davon aus, dass man auf Ergebnisse und die zugehörigen Daten von bis zu 136.000 Tests zugreifen konnte. Allerdings umfasst diese Zahl wohl nicht nur Berlin. Zum einen betreibt 21DX auch Standorte in anderen Teilen Deutschlands wie Bayern zum Beispiel. Zum anderen stammt die fehlerhafte Datenbank mit den Testergebnisse von der Firma Medicus AI, die auch noch andere Kunden hat.

Mangelhafte Programmierung

Die Bewertung des Datenlecks ist ernüchternd. Ein Mitglied von "Zerforschung" sagt: "Im Grunde haben die alles einmal mitgenommen. Nahezu alle Sicherheitslücken, die wir uns vorstellen können, haben wir auch gefunden. Die Authorisieriungsprozesse waren hochgradig mangelhaft."
 
Welche Daten außerdem abrufbar waren und welche Testzentren in Berlin von 21DX betrieben werden, können Sie in einem ausführlichen Bericht auf rbb|24 nachlesen.