Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten

Wir freuen uns sehr über Ihr Vertrauen in die Nutzung unseres Produkts, einen der ersten zugelassenen Corona-Schnelltests in Deutschland. Neben den zuverlässigen Schnelltests haben wir gleichzeitig eine Dokumentationsfunktion eingeführt. Den Nutzern der Schnelltests wurde es ermöglicht, über einen auf der Verpackung abgedruckten QR-Code und mithilfe ihrer individuellen Personalausweis- oder Führerscheinnummer ein PDF-Zertifikat über ihr Testergebnis zu erstellen. Die Angabe der Personalausweis- oder Führerscheinnummer war freiwillig.

AESKU wurde am 12. März 2021 durch eine E-Mail des c’t-Magazins darauf hingewiesen, dass die Nutzung der Web-App möglicherweise nicht allen datenschutzrechtlichen Anforderungen entspricht.

Durch eine Sicherheitslücke war es möglich, dass Unbefugte Zugriff auf die Testzertifikate von anderen Nutzern der Tests nehmen konnten. Nutzer konnten in diesen Zertifikaten auch die Personalausweis- oder Führerscheinnummer hinterlegen. Als Sicherheitslücke wurde die UNIX-Timestamps in der Download-URL der jeweiligen Testzertifikate identifiziert. Der UNIX-Timestamp definierte den Zeitpunkt, an dem das Zertifikat ausgestellt wurde. Durch ein Herunterzählen der Timestamps war es technisch versierten Nutzern dadurch möglich, die Zertifikate fremder Nutzer abzurufen. Ein solcher unbefugter Zugriff hätte jedoch vorausgesetzt, dass Unbefugten zumindest entweder eine Download-URL für ein Zertifikat bekannt war oder sie Zugriff auf einen auf der Verpackung abgedruckten QR-Code haben. Es bedurfte also eines zusätzlichen weiteren Schrittes Unbefugter, um Zertifikate fremder Nutzer abzurufen.

AESKU hat eine umfassende Prüfung eingeleitet, um den Umfang des Vorgangs und seine möglichen Folgen belastbar bewerten zu können. Nach derzeitigem Stand führte die potenzielle Sicherheitslücke zu einer unbefugten Offenlegung der Personalausweis- oder Führerscheinnummer, des Zeitpunkts der Erstellung des Zertifikats, der Dauer der Gültigkeit des jeweiligen Zertifikats sowie von Gesundheitsdaten in Form von Ergebnissen über durchgeführte Corona-Schnelltests. Weitere Informationen, wie etwa der Name, waren hingegen nicht einsehbar. Zum jetzigen Zeitpunkt kann nicht belastbar bewertet werden, ob und in welchem Umfang tatsächlich unbefugt auf die Zertifikate von Nutzern zugegriffen wurde. Uns ist bekannt, dass das c’t-Magazin auf die Datensätze von etwa 40 Kunden zugegriffen hat. Das c’t-Magazin hat uns zugesichert, die dabei erhobenen Daten nach Abschluss ihrer Recherche umgehend wieder zu löschen. Darüber hinaus gibt es derzeit keine Anhaltspunkte für unbefugte Zugriffe oder eine missbräuchliche Verwendung von Daten infolge des Vorgangs.

AESKU hat die technische Lücke am Vormittag des 13. März 2021 geschlossen. Ein unbefugter Abruf von Daten war danach vollständig ausgeschlossen. Zudem wurde die Funktion zur Zertifikat-Erstellung am 15. März 2021 komplett eingestellt. AESKU steht in Bezug auf die Reaktion auf den hier geschilderten Vorgang mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit Rheinland-Pfalz im engen Austausch.

Durch den möglichen Zugriff auf die Personalausweis- oder Führerscheinnummer ist eine missbräuchliche Verwendung dieser Daten nicht auszuschließen. Dabei besteht zumindest theoretisch ein Risiko, dass die vom Vorgang Betroffenen zum Ziel eines möglichen Identitätsdiebstahls werden könnten. AESKU empfiehlt den Nutzern der Zertifikatsfunktion daher, mögliche Anhaltspunkte, die auf eine missbräuchliche Verwendung ihrer Personalausweis- oder Führerscheinnummer hindeuten, aufmerksam zu beobachten. Für die tatsächlich von diesem Vorgang Betroffenen besteht die Möglichkeit, einer missbräuchlichen Nutzung der Personalausweis- oder Führerscheinnummer vorzubeugen, indem ein neues amtliches Dokument mit neuer Nummer bei den zuständigen Behörden beantragt wird. Die Kosten hierfür übernimmt die AESKU.

Sollten Sie noch weitere Fragen zu dem Vorgang haben, können Sie sich an unsere direkte Kontaktadresse This email address is being protected from spambots. You need JavaScript enabled to view it. oder an folgende Telefonnummer: +49 6734 9622 6666 von 9:00 bis 17:00 wenden.