Anzeige

COVID-Test

Wie verschiedene Medien, darunter heise.de, golem.de und die Süddeutsche Zeitung unter Berufung auf den Chaos Computer Club (CCC) jüngst berichteten,  gab es eine Sicherheitslücke in einer Software namens Safeplay für Test- und Impfzentren.

„Safeplay wird in Deutschland und Österreich im Rahmen der Coronavirus-Bekämpfung genutzt. Durch einfache Veränderung der URL konnten registrierte Nutzer auf Corona-Testergebnisse und persönliche Daten anderer Anwender zugreifen. Betroffen waren laut CCC 136.000 Testergebnisse und Daten von mehr als 80.000 Personen.“, so heise.de.

Der Software-Anbieter, die Wiener Firma Medicus, hat die Sicherheitslücke nach eigenen Angaben mittlerweile geschlossen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das CERT.at wurden informiert.

Wie der CCC nach einem Besuch eines Berliner Testzentrums entdeckt hat, ließen sich die Daten und Corona-Testergebnisse auch von anderen registrierten Kunden durch eine einfache, manuelle Änderung der Safeplay-Internetadresse abrufen. Die URL für die sogenannten "Testzertifikate" enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, waren die Ergebnisse und Daten anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen. 

Linus Neumann vom Chaos Computer Club stimmt der Vorfall für die Zukunft wenig optimistisch: "Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT", erklärte Linus Neumann vom Chaos Computer Club. Er wirft Gesetzgebern, Behörden sowie Unternehmen Fahrlässigkeit vor: "Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erst mal ihre Hausaufgaben machen."

Dazu ein Kommentar von Gunnar Braun, Synopsys:

„Der Beitrag in der Süddeutschen Zeitung zeigt gleich drei verheerende Sicherheitslücken auf: nicht nur konnten Nutzer auf die Testdaten anderer zugreifen, sondern es war auch möglich, sich unbefugt in einem Mitarbeiter-Portal anzumelden und sogar falsche Testergebnisse auf dem Server abzulegen. Die erste der genannten Schwachstellen ist auch unter der CWE-425 als Direct Request („Forced Browsing“) bekannt. Dabei handelt es sich um eine Sicherheitslücke, die sich häufig schon während der Software-Entwicklung mittels statischer Codeanalyse (SAST) erkennen lässt. Spätestens aber, wenn man zu dynamischen Security Testing Tools wie DAST und IAST greift. 

Interessant ist noch ein anderer Aspekt. Es wird zwar, wie so häufig, der Datentransports mittels HTTPS verschlüsselt. Die abgelegten Daten (die sogenannten „Data at Rest“) sind aber scheinbar weder verschlüsselt noch signiert. Die Art der Sicherheitslücken und das Wie ihres Auftretens, deuten auf einen Mangel an systematischen Prozessen bei der Softwaresicherheit hin. Oft fehlt es zusätzlich an Know-how hinsichtlich der möglichen Angriffs-Vektoren. Und die muss man nicht nur kennen, sondern einordnen und bewerten können. Ohne diese Voraussetzung ist eine effektive Verteidigung schlichtweg unmöglich.

Das wirft die Frage nach entsprechenden Regulierungen und Standards auf. Die DSGVO belegt zwar Nachlässigkeit mit empfindlichen Strafen. Allerdings lässt sich der Vorwurf mangelnder Sorgfalt oft schon dadurch abwenden, dass man ja HTTPS verwendet habe. Für Software im medizinischen Sektor gilt andererseits (und das seit Jahren schon) die IEC 62304. 

Die scheint aber hier nicht zur Anwendung zu kommen, da es sich nicht um eine Software handelt, die medizinische Geräte kontrolliert. IEC 62304 einzusetzen, ist eine ernsthafte Überlegung wert. Die Norm ist zwar in punkto Cybersicherheit immer  noch vergleichsweise "leichtgewichtig", aber sie erfordert zumindest Dinge wie ein Risiko-Management und Statische Codeanalyse.“

Gunnar Braun, Technical Account Manager
Gunnar Braun
Technical Account Manager, Synopsys

Artikel zu diesem Thema

Microsoft Exchange
Mär 22, 2021

Microsoft: Zehntausende E-Mail-Server wegen Sicherheitslücke gehackt

Update 22.03.21, 15:56 Die Sicherheitslücken im weit verbreiteten Kommunikationssystem…
Cyber Security
Mär 12, 2021

Das sind die häufigsten IT-Schwachstellen

Während sich viele Unternehmen 2020 digital neu erfanden, griffen Cyberkriminelle…

Weitere Artikel

Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.
Microsoft Exchange

Stellen Sie kritische Systeme niemals ungeschützt ins Internet!

Die Angriffswelle auf Microsoft Exchange Server ist der zweite Security Super-GAU nach dem SolarWinds-Hack. Zehntausende Systeme in Deutschland sind davon betroffen und wurden vermutlich schon kompromittiert. Ein Kommentar von Wolfgang Kurz, CEO bei indevis.
Microsoft Exchange

Microsoft Exchange - Neue Sicherheitslücken entdeckt und geschlossen

Am Dienstag - Patch Tuesday gab es wieder einige kritische Updates für Microsoft Exchange. Ebenso wie bei Hafnium raten Experten dringend zur Installation der Patches. Anders als bei Hafnium kam die Warnung jedoch von der amerikanischen NSA.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.