Daten vieler Online-Apotheken sind in den vergangenen Wochen nicht ausreichend gesichert gewesen. Das haben Recherchen von NDR und WDR ergeben. Betroffen waren vermutlich mehr als 170 Online-Apotheken. Die Lücke in den Webshops soll mittlerweile geschlossen sein.
Für Internetnutzer waren die Seiten der betroffenen Versandapotheken, darunter Sanicare und Apotal, wie ein offenes Buch. Wer in der Internet-Adresszeile die Wörter „server-status“ eingab, erhielt umgehend eine Liste aller Vorgänge, die gerade auf dem Server der Online-Apotheken stattfanden. Ein Online-Gau. Denn in der Liste befanden sich auch die „Session-IDs“ von Kunden, mit deren Hilfe jedermann in das Profil eines Kunden eindringen konnte, sofern der gerade online war.
Tiefergehende Computerkenntnisse bedurfte es dafür beunruhigenderweise nicht. Gegenüber NDR und WDR sagte Dominik Herrmann vom Lehrstuhl Privatsphäre und Sicherheit in Informationssystemen der Uni Bamberg: „Einem absoluten Anfänger kann man die nötigen Schritte beibringen. Studenten der Informatik wären in der Lage, so was zu tun.“
Wie viele Apotheken genau dieses Sicherheitsproblem hatten, steht nicht fest. Die Lücke bestand auf manchen Servern bis Dienstagmittag. Vermutlich waren mehr als 170 Online-Apotheken betroffen, die Bamberger Wissenschaftler gehen davon aus, dass alle Apotheken, die die gleiche Software für ihren Shop einsetzen, Opfer der Sicherheitspanne wurden. Awinta hatte bereits Ende vergangener Woche über den Vorfall informiert – Webshops des EDV-Anbieters waren betroffen.
Laut Awinta hatte es ein Problem bei den Sicherheitseinstellungen im Webshop gegeben. Während WDR und NDR angaben, dass die Sicherheitslücke im Rahmen von Sicherheitsuntersuchungen aufgeflogen sei, sagte Awinta, dass diese im Rahmen vereinzelter Testzugriffe auf Web-Server-Status-Seiten aufgefallen sei. Auch habe man die Lücke geschlossen, schon bevor man darauf hingewiesen worden sei.
Laut Awinta lag der Fehler in einer „manuellen Fehlkonfiguration der Sicherheitseinstellungen, welche ausschließlich durch unsere Mitarbeiter vorgenommen werden.“ Eine Fehl-Einstellung auf Kundenseite schloss das Unternehmen aus. Viele Awinta-Kunden nutzen auch den Webshop. Da diese aber auf verschiedenen Servern laufen, sein nur ein sehr kleiner Teil der Kunden von der Sicherheitslücke betroffen, so das Softwarehaus.
Durch diese Zugriffe sei man vor dem Hintergrund des Bundesdatenschutzgesetzes (BDSG) verpflichtet, die Kunden von diesem Umstand zu informieren. Am vergangenen Freitagabend gab Awinta bekannt, dass es nach ihren Erkenntnissen zu keinem kriminellen Datenmissbrauch gekommen sei und es sich insgesamt um eine sehr begrenzte Anzahl von Zugriffen handle. Parallel dazu verkündete es, die bestehenden Maßnahmen der Datensicherheit zu verstärken und umfangreiche Sicherheitsüberprüfungen durchzuführen.
APOTHEKE ADHOC Debatte