Datenleck in niedersächsischem Impfportal geschlossen
Auf einen anonymen Hinweis hin hat der Betreiber des niedersächsischen Impfportals ein Datenleck geschlossen, das Personendaten von Impfwilligen preisgab.
(Bild: FabrikaSimf/Shutterstock.com)
Ein Hinweis eines anonymen Hackers hat nach Angaben des niedersächsischen Gesundheitsministeriums dazu geführt, dass ein Datenleck im Impfportal des Bundeslands geschlossen werden konnte, bevor es aktiv ausgenutzt wurde.
Wie das Gesundheitsministerium am Donnerstag erklärte, meldete sich bereits am 7. Mai ein mutmaßlicher White-Hat-Hacker mit detaillierten Hinweisen auf ein Datenleck des Impfportals. Nach seinen Angaben sei er nur daran interessiert, dass die Lücke geschlossen werde und er habe keine der Datensätze von über 1200 Personen gespeichert, auf die er Zugriff erlangt hatte.
Jeder hatte Zugriff
Der für die Entwicklung des Impfportals Niedersachsen zuständige Dienstleister Majorel habe den Angriff nachvollziehen können, heißt es weiter: Dabei sei eine Funktion ausgenutzt worden, mit der in Impfzentren die Personendaten von Impfwilligen gesucht und abgerufen werden können. Das sei nötig, um den Datensatz registrierter Personen zu finden, die ohne ihren Termincode ein Impfzentrum aufsuchen.
Eigentlich sollte diese Schnittstelle nur für Impfzentren und via VPN zugänglich sein. Wie der Hacker jedoch herausfand, ermöglichte die Registrierung als Impfwilliger beim Bürgerportal mittels SMS für bis zu zwei Minuten, ebenfalls auf die Schnittstelle zuzugreifen und hunderte Personendatensätze abzufragen. Die Lücke sei noch am Abend des 7. Mai geschlossen worden.
Eine Überprüfung der Log-Dateien durch Majorel ergab laut Gesundheitsministerium, dass die beschriebene Lücke nur am 6. und 7. Mai insgesamt 37 Mal erfolgreich ausgenutzt und dabei 1258 Personendatensätze abgerufen wurden. Man gehe davon aus, dass sämtliche Zugriffe durch den freundlichen Hacker erfolgten und er, wie angegeben, tatsächlich keine Daten gespeichert habe.
Insofern sei den Betroffenen kein Schaden entstanden, schließt das Ministerium. Dennoch handele es sich um einen Datenschutzverstoß, der dem Landesdatenschutzbeauftragten angezeigt worden sei. Außerdem sollen alle Personen, deren Daten abgerufen wurden, in den nächsten Tagen postalisch über den Vorfall informiert werden. (mid)
