Aldi Corona Selbsttest: Nutzlose Zertifikate und Datenschutzmängel

Aldi Corona Selbsttest in der Kritik. Der Aldi Covid-19-Test weist eine große Nachfrage und ebenso viele Mängel auf. Die Zertifikate sind nutzlos. Corona-Schnelltest können seit letzter Woche bei Aldi und Lidl gekauft werden. Die Nachfrage war enorm, die Tests waren binnen kurzer Zeit ausverkauft. Die Discounter versprechen, dass es mit den Schnelltests möglich sei, innerhalb weniger festzustellen, ob der Getestete mit dem Coronavirus infiziert ist. Der Hersteller der Tests, Aesku Diagnostics, sorgt nun mit einer heftigen Zertifikatspanne für Schlagzeilen.

Aesku Diagnostics wirbt unter anderem damit, dass ein negatives Schnelltest-Ergebnis in Kombination mit dem danach ausgestellten Zertifikat einen Einlass zu Gastronomie, Gastronomie und Veranstaltungen ermöglichen würde. In Deutschland gibt es aktuell jedoch keine entsprechende Verordnung, womit die Aussage des Hersteller der Unwahrheit entspricht. Außerdem zeigen die Schnelltests von Aesku einen gravierenden Mangel: Ein Schnelltest lässt sich auch dann erstellen, wenn ein auf der Umverpackung angebrachter QR-Code gescannt wird. Dies funktioniert unabhängig davon, ob überhaupt ein Test durchgeführt oder gekauft werden. Das „Zertifikat“ ist damit ebenso sinnlos wie unbrauchbar.

Die Funktionsweise zeigt ebenfalls kritische Schwächen: Nach Einscannen des QR-Codes auf der Verpackung und dem Aufrufen der Web-App können unter Angabe von Führerschein- oder Personalausweis-Daten gleich mehrere Testzertifikate pro Code als PDF heruntergeladen werden. Nutzer sind in der Lage falsche Daten anzugeben, da diese nicht geprüft werden. Die maximal fünf auszustellenden Zertifikate werden auch über ein Foto oder Video ausgestellt. Im schlimmsten Fall geht bei einem Missbrauch dieser Zertifikate der Testende leer aus und bekommt kein Zertifikat ausgestellt. Zudem setzt der Hersteller darauf, dass der Nutzer des Schnelltests während des Zertifikats-Prozesses selbst angibt, ob der Test positiv oder negativ war. Auch bei einem Positiv-Test kann so einfach „negativ“ ausgewählt werden, und ein entsprechendes Zertifikat wird ausgegeben.

Das Technik-Portal Heise c’t hat das gesamte System von Aesku auf Schwächen abgeklopft und dabei einige weitere Schwachstellen entdeckt. Vorhersagbare Download-URLs ermöglichen es Betrügern beispielsweise, gezielt nach ausgestellten Zertifikaten Ausschau zu halten. „Die Download-URL der Zertifikat-Dateien enthielten als einzigen variablen Teil den Unix-Timestamp des Zeitpunkts, an dem das Zertifikat erstellt wurde – also die Anzahl der Sekunden, die seit Neujahr 1970 vergangen sind. So war es ein Leichtes, die Website von Aesku systematisch nach Zertifikaten zu durchsuchen – der Abruf war nicht einmal durch ein Captcha vor einem massenhaften Download per Skript geschützt.

Den Timestamp als einziges Unterscheidungsmerkmal zu verwenden zeigt auch, wie kurzsichtig das Zertifikatvergabesystem programmiert wurde: Da die Zertifikate nur 24 Stunden gültig sind, sollte man sich idealerweise täglich testen – bei rund 80 Millionen Einwohnern in Deutschland würde dies durchschnittlich knapp 1000 Zertifikate pro Sekunde bedeuten. Das System verkraftete jedoch nur ein einziges Zertifikat pro Sekunde, es war also auf nicht einmal 100.000 Tests täglich ausgelegt.“ Die ausgestellten Negativ-Zertifikate des Schnelltests von Aesku sind damit faktisch wertlos. Auch dem Team von c’t gelang es binnen Stunden durch simples Ausprobieren, „genügend PDFs zu finden, um über drei Monate lang jeden Tag ein neues erschlichenes Zertifikat vorweisen zu können“, wie es im Artikel heißt.

Zudem ließ es sich durch den Abruf der PDFs auch problemlos an personenbezogene Daten kommen, wie Heise berichtet. Aesku verstößt damit sogar gegen die eigenen aufgesetzten Datenschutzbestimmungen, die versprechen, dass Personalausweis- oder Führerscheinnummer verschlüsselt werden und nicht reproduzierbar sind. Mittlerweile hat Aesku Diagnostics die Unix-Timestamps der Zertifikats-URL entfernt und durch 128 Bit lange IDs ersetzt – betrügerische Handlungen sind aber weiterhin möglich, da die QR-Codes auf den Verpackungen nach wie vor identisch sind. Der Aldi Corona Test muss somit als stümperhaftes Produkt bewertet werden, mit dem sich der Einzelhändler keinen Gefallen tut. Vertrauen in Corona Schnelltests kommt so sicherlich nicht auf.