Zugriff auf Kundendaten möglich Sicherheitslücke betraf mehr als 170 Online-Apotheken

Wer kauft gerade welche Medikamente ein? Dritte konnten solche sensiblen Informationen bei zahlreichen Internetapotheken einsehen. Die Panne betraf Dutzende Websites auf einmal.

Online-Medizinkauf
Getty Images

Online-Medizinkauf

Von


Mehr als 170 Online-Apotheken, darunter etwa Apotal und Sanicare, hatten bis vor Kurzem ein Sicherheitsproblem. Dritte konnten, teils bis zum Dienstagmittag, auf einfachem Weg Einblick in die Daten gerade aktiver Kunden der Websites bekommen.

Sie konnten dabei Berichten zufolge unter anderem an die Namen, Adressen und die Kontodaten der Betroffenen kommen. Auch Informationen zu den Bestellungen sollen prinzipiell einsehbar gewesen sein. Entdeckt haben die Sicherheitslücke Forscher der Universität Bamberg; zuerst darüber berichtet haben am Donnerstagmorgen NDR und WDR.

"Jeder Internetnutzer konnte, wenn er auf der Seite einer der betroffenen Versandapotheken war, in der Internetadresszeile die Wörter 'server-status' eingeben und schon öffnete sich auf dem Bildschirm eine Liste aller Vorgänge, die gerade auf dem Server der Online-Apotheken stattfanden", beschreibt Tagesschau.de das Problem. "In dieser Liste fanden sich auch sogenannte Session-IDs von Kunden, mit deren Hilfe Fremde in das Profil eines Kunden hätten eindringen können, der gerade online war."

"Ein Desaster"

Dominik Herrmann vom Bamberger Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen sagt auf SPIEGEL-Anfrage, die Sicherheitslücke sei für die betroffenen Apotheken "ein Desaster": Medizinische Daten beziehungsweise Daten zu Medikamentbestellungen gehörten zu den kritischsten Daten, mit denen man als Unternehmen hantieren könne. So wirbt die Sanicare-Website beispielsweise mit dem Motto "Vertrauen ist die beste Medizin".

Mindestens seit Februar ein Problem

Dass Dritte wirklich die Chance hatten, in fremde Profile einzudringen, habe er mit eigens für den Nachweis angelegten Test-Accounts ausprobiert, berichtet Herrmann. Auf die Fährte des Problems hatte die Bamberger Forscher ein Nutzer ihrer Website "PrivacyScore" gebracht. Das Portal ermöglicht es, Websites automatisch auf gängige Datenschutz- und Sicherheitsprobleme hin untersuchen zu lassen.

Im Februar hatte ein Nutzer dort mehrere Listen mit dem Titel "Registered Internet Pharmacies in Germany (which are pharmacies)" hochgeladen, was dazu führte, dass der Onlinedienst die Apotheken-Websites überprüfte. Ergebnis der technischen Analyse war, dass auffallend viele der Websites dasselbe Sicherheitsproblem hatten.

Laut Tagesschau.de hängt das damit zusammen, dass alle betroffenen Apotheken Software derselben Firma nutzen - von Awinta, einem Unternehmen, das eigenen Angaben zufolge "Marktführer für Apothekensoftware" ist. Gegenüber Tagesschau.de hat Awinta bereits eingeräumt, dass es ein Problem gab: Die Ursache sei erkannt und der Fehler behoben worden, heißt es demnach in einer Stellungnahme, außerdem ist von einer "manuellen Fehlkonfiguration" die Rede.

Wie lange genau es die Lücke auf den Online-Apotheken-Websites schon gab, sei nicht bekannt, sagt Dominik Herrmann. Klar sagen lasse sich dank der PrivacyScore-Daten aber, dass Unbefugte die Lücke mindestens seit Februar für ihre Zwecke hätten nutzen können. Der NDR schreibt allerdings, dass Awinta betont, dass es nicht zu einem kriminellen Datenmissbrauch gekommen sei.



insgesamt 2 Beiträge
Alle Kommentare öffnen
Seite 1
schüttelkugel 24.05.2018
1. Schön, ...
... dass mal wieder darüber geredet wurde. Und was passiert jetzt? Saftige Geldstrafen? Knast? Unternehmen dicht? Diese ganzen Entschuldigungen, die man nach solchen Pannen von den Verursachern allenthalben hört, grenzen doch an Frechheit und machen nicht im Ansatz den Schaden wett (ob eingetreten oder nicht!). Datenschutz? Für die Tonne. Da ändert sich auch nichts mit der neuen DSVO. Die Großen zahlen die "Pannen" aus der Portokasse (siehe Facebook mit lachhaften 4 % vom Jahresumsatz, der droht) und den Kleeinen wird komplett der Garaus vvon Abmahnern gemacht, wenn auf der Website auch nur ein Jota falsch gesetzt ist.
a4avant 24.05.2018
2. Ich glaube der Test ...
sollte garnicht bestanden werden. Habe mir gerade mal die Einzelheiten des Testes angesehen. So wird häufig keine https Unterstützung bemängelt. Klickt man auf die Apotheken Homepage, so wird diese unterstützt. Bei einigen Apotheken alle Unterpunkte grün. Gesamt: nicht bestanden. Sieht mir im Moment eher danach aus, als wenn Verfasser genau diese Ergebnisse haben wollte.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.