Kundendaten aus Mülheimer Testzentren waren kaum gesichert

IT-Aktivisten der Gruppe „Zerforschung“ haben die Sicherheitslücke bei „PAS Solutions“ aufgedeckt. Die Firma hat auch in Mülheim zwei Testzentren betrieben, aktuell noch eins. © dpa Picture-Alliance / Franziska Gabbert

Mülheim. Kriminelle hätten Daten von Kunden der zwei Mülheimer „Coronapoint“-Testzentren leicht abgreifen können. Was die Verantwortlichen dazu sagen.

Seit Mai ermittelt die Staatsanwaltschaft Bochum gegen das Unternehmen Medican, das auch in Heißen ein Corona-Testzentrum betrieben hat. Bei der Abrechnung von Bürgertests sollen die Verantwortlichen betrogen haben. Nun steht erneut eine Firma, die in Mülheim Testzentren betreibt, in der Kritik: Bei „PAS Solutions“, seit April Betreiber der „Coronapoints“ an der Althofstraße und seit Mai auch am Pastor-Luhr-Platz, hat es in den ersten zwei Juni-Wochen ein umfangreiches Datenproblem gegeben.

Laut Westdeutschem Rundfunk (WDR) und Süddeutscher Zeitung (SZ) haben IT-Aktivisten der Gruppe „Zerforschung“ die Sicherheitslücke aufgedeckt. Sie konnten 175.000 PDF-Dateien mit Buchungsbestätigungen oder Testergebnissen abrufen. Die Datensätze enthielten Namen, Geburtsdaten, Adressen, Telefonnummern, Passwörter – sowie vielfach auch Personalausweisnummern von Kunden, was die Sache besonders brisant macht.

Wer Zugriff auf das Gesamtpaket hat, könne nämlich leicht einen Identitätsdiebstahl begehen, heißt es. So könne man beispielsweise Kredite aufnehmen oder Onlinegeschäfte abschließen.

Einer der Gesellschafter spricht auf Nachfrage von einem „menschlichen Fehler“

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) gab es bei PAS Solutions ein gravierendes Datenschutzproblem. Die Verantwortlichen bestreiten dies nicht. Einer der Gesellschafter spricht auf Nachfrage dieser Zeitung von einem „menschlichen Fehler“. Nachdem man Änderungen am System vorgenommen habe, sei schlicht vergessen worden, eine Datei zu installieren, die regelt, wer auf welche Informationen Zugriff hat – und wer eben nicht.

Daher hätten Unbefugte theoretisch zwischen dem 4. und 14. Juni relativ einfach an die wertvollen Infos gelangen können – das aber sei nicht geschehen. „Niemand hat Daten heruntergeladen“, beteuert der Gesellschafter. Das habe man kontrolliert; einzig die Mitglieder von „Zerforschung“ hätten die Daten einsehen können.

Als man am 14. Juni vom möglichen Leck erfahren habe, habe man es schnell geschlossen. Spätestens am 16. Juni sei alles sicher gewesen, das habe das BSI bestätigt. Dass die Menschen sich Sorgen machen, sei trotzdem verständlich. „Wir können uns nur entschuldigen und hoffen, dass sie uns wieder vertrauen.“

Stadt Mülheim hat das Hygiene- und Testkonzept überprüft

Rund 300 Testungen gab es täglich im „Coronapoint“ an der Althofstraße, etwa 50 im mittlerweile geschlossenen Zentrum am Pastor-Luhr-Platz. Laut Stadtsprecher Volker Wiebels waren zu Höchstzeiten rund 20 Testzentren in Mülheim am Start. „Für einige der kleineren lohnt sich die Sache jetzt nicht mehr.“ Die Stadtverwaltung habe bei PAS Solutions übrigens genau überprüft, wie es um Hygiene- und Testkonzept steht. „Das EDV-System aber ist nicht unsere Baustelle.“