"Ein komplettes Drogenscreening für nur 54 Euro". So wirbt das Wiener Labor "Drogentest Wien" um Kunden, die für Beruf oder Behörden einen entsprechenden Befund benötigen. Das Unternehmen wollte es den eigenen Kunden besonders einfach machen, ihr Ergebnis zu erhalten. Es konnte über das Internet abgerufen werden.

STANDARD-Recherchen ergaben, dass die dafür vorgesehene Onlineabfrage allerdings ein massives Datenschutzproblem hatte: Sie machte alle gespeicherten Befunde öffentlich zugänglich. Wie viele Nutzer davon betroffen sind, ist nicht absehbar. Laut dem Netzarchiv Archive.org existiert die Abfragemöglichkeit zumindest seit 2014.

Per Zufallszahl zum Drogenbefund

Ist der Befund fertiggestellt, erhalten Kunden eine achtstellige Nummer, über welche sich das Analyseergebnis in Form einer PDF-Datei downloaden lässt. Das Problem: Es gibt kein zweites Sicherheitsmerkmal – etwa in Form eines PINs oder Passworts. Dadurch ist es möglich, durch die Eingabe von beliebigen Zahlen zufällig die Testergebnisse fremder Personen zu sichten. Diese beinhalten neben dem Ergebnis selbst auch weitere sensible Daten wie Name, Geburtsdatum, die veranlassende Stelle sowie die Nummer eines Lichtbildausweises (etwa Pass oder Führerschein).

Defekter Zahlengenerator

DER STANDARD konnte das Leck nachvollziehen und zahlreiche Befunde abrufen, wobei in den meisten Fällen einfach die Abänderung einer Ziffer genügte, um einen weiteren Befund zu finden. Die verfügbaren Informationen lassen sich potenziell vielfältig für Online-Betrug oder Identitätsklau missbrauchen. Zudem ist es mit den vorhandenen Angaben relativ einfach, die Betroffenen auf sozialen Medien aufzuspüren und so weitere Informationen zu gewinnen.

Nach dem Hinweis auf dieses Datenschutzproblem hat Drogentest Wien das Abfragesystem am Dienstagnachmittag offline genommen. Seitens des Labors heißt es dazu, dass der Abruf fremder Ergebnisse durch eine einfache Nummernänderung aufgrund eines Fehlers im Zahlengenerator möglich war, der die Befundnummern erzeugt. Gegen massenhafte Abfragen (etwa durch ein Skript) sei man geschützt gewesen. Nun will man eine neue Lösung erarbeiten, die aktuellen Sicherheits- und Datenschutzstandards entspricht. Zeitgleich waren im System maximal 500 Befunde abrufbar. Gespeicherte Dokumente werden nach 30 Tagen wieder gelöscht.

Neue Lösung in Arbeit

Kunden müssen ihre Ergebnisse in der Zwischenzeit nun vor Ort im Labor abholen, heißt es in einem Hinweis auf der Website. Man "bedauert, dass es zu dieser Sicherheitslücke gekommen ist".

Mit der vorläufigen Abschaltung der Abfrage entspricht man auch den Vorgaben der Datenschutzgrundschutzverordnung (DSGVO). Diese sieht vor, dass derlei Lücken ab Kenntnis schnellstmöglich behoben werden müssen und binnen 72 Stunden eine Meldung bei der Datenschutzbehörde zu machen ist. Diese betonte gegenüber dem STANDARD, dass betroffene Nutzer umgehend in Kenntnis gesetzt werden müssen. Direkt könne man die Kunden allerdings nicht informieren, so Drogentest Wien, da man keine Kontaktdaten speichere. (Georg Pichler, Markus Sulzbacher 11.9.2018)