Wer sich in der Corona-Teststraße im Austria Center in der Wiener Donaustadt auf Covid-19 testen ließ, hatte bis vor kurzem leichte Sicht auf die Zugangsdaten jener Accounts, mit denen die Mitarbeiter auf Befunde zugreifen. Direkt neben zahlreichen PCs waren sie auf Zetteln zu finden. Sie lieferten einen Eintritt in die Web-App der Stadt Wien, in der die sensiblen Daten, darunter etwa die Adresse und die Sozialversicherungsnummer, verarbeitet werden. Die Stadt Wien hat, nachdem sie der STANDARD auf die enormen Datenschutzmängel aufmerksam gemacht hat, eine grundlegende Überarbeitung des Sicherheitskonzepts angekündigt.

Schneller Blick war möglich

Noch leichter war der Zugriff auf die Daten für all jene, die schon einmal dort gearbeitet haben. Die Passwörter seien nämlich bisher noch nie geändert worden, sagt ein Hinweisgeber, der anonym bleiben wollte, dem STANDARD. Jede Person, die bereits dort gearbeitet hat, kannte sie also. Das System ist im Internet verfügbar, was einen Log-in auch von außen erlaubte – und damit ein Zugriff auf die Daten der mehr als 200.000 Testungen.

Der Hinweis ließ sich bei einem Lokalaugenschein am Samstag bestätigen. Während die Begleitung ihr Testergebnis ausdrucken ließ, konnten die entsprechenden Zettel auf mehreren Tischen eingesehen werden. Um sie lesen zu können, musste man sich nur wenige Schritte nähern. Die Schalter, die die Mitarbeiter von Patienten mit einer Glaswand trennen, sind auf zwei Reihen aufgeteilt. Stand ein Besucher vor dem Schalter in der hinteren Reihe, musste er sich bloß umdrehen, um alles, was auf einem der Tische lag, zu sehen. Wer sich mit Begleitung testen ließ, konnte die Zugangsdaten in der Zeit, in der er auf den anderen warten musste, zufällig entdecken.

Daten stehen im Netz

Ein Mitarbeiter hatte die Autorin dieses Berichts zwar bemerkt, nachdem diese zu einem Tisch gegangen war und dort mehrere Augenblicke verweilte. Er bat, auf der Seite zu bleiben – in der Zwischenzeit hätte sich aber ein diskretes Smartphone-Foto erstellen lassen.

Wer noch einen Blick auf die eingeschalteten Computer warf, sah auch den Link zu der zugehörigen Web-App. Über 210.000 Antigentests und mehr als 1000 PCR-Tests, also sämtliche in der Teststraße erfassten Daten seit November des vergangenen Jahres, konnten mit den Zugangsinformationen ausgelesen werden.

Wer sich testen lässt, muss seinen Namen, sein Geburtsdatum, seine Sozialversicherungsnummer, seine Adresse sowie eine Telefonnummer oder eine E-Mail-Adresse angeben. Diese Informationen waren auf der Seite ersichtlich sowie auch das Testergebnis im Fall der mehr als 210.000 Antigentests. Zumindest 60 Mitarbeiter würden an einem Tag darauf zugreifen, sagt der Hinweisgeber.

Katastrophales Passwortschema

Ein Zugriff war ohne weiteres möglich, eine weitere Sicherheitsprüfung gab es bis zuletzt nicht. Dabei wäre gerade bei der Sensibilität der Daten etwa eine Zweifaktorauthentifizierung angemessen – in einem solchen Fall müsste man den Log-in zusätzlich bestätigen, etwa durch einen Code, der per SMS versandt wird. Da die Mitarbeiter in der Teststraße keine personalisierten Accounts haben, wäre es für die Stadt Wien nicht möglich nachzuvollziehen, wie genau es zu einem Datendiebstahl gekommen war.

Die allgemeine Qualität der Passwörter dürfte auch für Angreifer von außen, die keine Einsicht auf Zettel im Austria Center hatten, als nicht besonders komplex gewertet werden, da Benutzername und Passwort zu einem guten Teil ident waren. Zudem waren die Log-in-Informationen für alle Konten lediglich durchnummeriert. Ein Beispiel: Lautete der Benutzername eines Kontos "Teststraße1" und das Passwort "Teststraße1#Zusatz", war es bei einem weiteren schlicht "Teststraße2" beziehungsweise "Teststraße2#Zusatz" und so weiter.

Wer also die Zugangsdaten für einen der dutzenden Accounts hatte, konnte auf alle zugreifen. "Das Missbrauchspotenzial dieses Datenskandals ist kaum zu ermessen", kritisiert Thomas Lohninger von der Grundrechts-NGO Epicenter Works. "Mit so umfänglichen Informationen sind Identitätsdiebstahl, Erpressung oder der Verkauf an Adresshändler für Kriminelle kinderleicht. Zum Glück wandte sich ein Informant an den STANDARD, sonst wäre dieser Missstand andauernd." Der Kritik stimmt auch Horst Kapfenberger von der Datenschutz-NGO Noyb zu: "Ich frage mich, warum man die Benutzeranmeldung nicht gleich weglässt. Viel bringt sie in dieser Form nicht mehr." Es sei zu hoffen, dass es zu keinem Datendiebstahl gekommen sei – "sofern die Betreiber das überhaupt erkennen können".

Datenschatz für Fündige

Wie der STANDARD zudem erfuhr, hatte es in der Oberfläche von 21. Jänner bis 22. Jänner eine Schaltfläche gegeben, die es erlaubte, die Daten aller bisher getesteter Personen als Excel-Tabelle herunterzuladen. Diese Datei liegt vor. Bei dieser Funktion habe es sich aber um einen Bug gehandelt, heißt es vonseiten der Stadt Wien.

Doch auch ohne die Schaltfläche gestaltete sich die Web-App aus Datenschutzperspektive äußerst problematisch: Sämtliche der über 200.000 Antigentests und mehr als 1000 PCR-Tests konnten auch ohne Download in der Oberfläche eingesehen werden. Auf einer Seite werden nach Wunsch bis zu 100 Tests angezeigt, dann konnten Nutzer auf die nächste wechseln. Wurden nicht anhand der Bearbeitungsfunktion weitere Details abgerufen, waren zumindest der Barcode für den Antigentest, das Testdatum, der Name, die Sozialversicherungsnummer sowie die E-Mail-Adresse und die Telefonnummer ersichtlich. Einzelne Felder ließen sich mit einer Schaltfläche kopieren. Bearbeitete man einen Datensatz, war auch die Adresse sichtbar.

Änderungen angekündigt

Für einen Angreifer wäre es ein Leichtes gewesen, diese anhand eines einfachen Computerprogramms zu extrahieren und abzuspeichern. Und selbst technisch weniger kundige Nutzer konnten einfach mittels der Kopieren- und Einfügenfunktion Daten abgreifen. So wäre es wohl in wenigen Minuten möglich gewesen, die Informationen von tausenden Getesteten zu stehlen.

Doch auch die IT-Sicherheit der Geräte in der Halle selbst lässt zu wünschen übrig: So ist es ohne weiteres möglich, einen USB-Stick an die Geräte anzuschließen und Daten abzugreifen. Begründet wird das damit, dass nur so die Drucker betrieben werden könnten. Lohninger dazu: "Das ist ein lächerliches Argument, schließlich gibt es Netzwerkdrucker."

Die Stadt Wien kündigte als Reaktion umfassende Änderungen an. Die Passwörter wurden geändert, zudem soll eine Zweifaktorauthentifizierung eingeführt werden. Auch sollen Mitarbeiter künftig nur noch Daten einsehen können, die einen Tag alt sind. Weiters dürften Kennwörter nicht neben den Arbeitsplätzen liegen.

System bleibt trotz Hinweis im Netz

Wieso erhalten die Mitarbeiter aber keine personalisierten Accounts? "Die Hohe Mitarbeiterzahl und die dynamischen Änderungen der Anzahl der Lanes erforderte eine einfache und rasche Handhabung der Systeme", heißt es.

"Da hier sensible Gesundheitsdaten verarbeitet werden, hätte zwingend eine Datenschutzfolgeabschätzung gemacht werden müssen. Diese sollte jetzt veröffentlicht werden, um das Vertrauen der Wiener zurück zu gewinnen", merkt Lohninger an. Die Frage des STANDARD, ob es eine solche gab, von wem sie durchgeführt wurde und ob eine Einsicht auf diese möglich ist, blieb bis Redaktionsschluss unbeantwortet.

Insgesamt dürfte sich der Datenschutz ein wenig bessern, allerdings bleibt das System im Netz: Der Link zur Web-App sei nämlich "nur einem definierten Adressatenkreis" bekannt, heißt es von der Stadt Wien. Für Lohninger ist das eine Begründung, "die weit weg von jeder Realität ist". So könne man die einzelnen Einrichtungen via IP-Adresse freischalten, anstatt "das gesamte Internet inklusive Russland, China und NSA zugreifen zu lassen". Für ihn wirkt es so, als habe die Stadt Wien "bei ihrem Testsystem komplett auf den Datenschutz vergessen". (Muzayen Al-Youssef, 2.2.2021)