Zugriff auf Kundendaten möglich Sicherheitslücke betraf mehr als 170 Online-Apotheken

Wer kauft gerade welche Medikamente ein? Dritte konnten solche sensiblen Informationen bei zahlreichen Internetapotheken einsehen. Die Panne betraf Dutzende Websites auf einmal.

Mehr als 170 Online-Apotheken, darunter etwa Apotal und Sanicare, hatten bis vor Kurzem ein Sicherheitsproblem. Dritte konnten, teils bis zum Dienstagmittag, auf einfachem Weg Einblick in die Daten gerade aktiver Kunden der Websites bekommen.

Sie konnten dabei Berichten zufolge unter anderem an die Namen, Adressen und die Kontodaten der Betroffenen kommen. Auch Informationen zu den Bestellungen sollen prinzipiell einsehbar gewesen sein. Entdeckt haben die Sicherheitslücke Forscher der Universität Bamberg; zuerst darüber berichtet haben am Donnerstagmorgen NDR und WDR .

"Jeder Internetnutzer konnte, wenn er auf der Seite einer der betroffenen Versandapotheken war, in der Internetadresszeile die Wörter 'server-status' eingeben und schon öffnete sich auf dem Bildschirm eine Liste aller Vorgänge, die gerade auf dem Server der Online-Apotheken stattfanden", beschreibt Tagesschau.de das Problem. "In dieser Liste fanden sich auch sogenannte Session-IDs von Kunden, mit deren Hilfe Fremde in das Profil eines Kunden hätten eindringen können, der gerade online war."

"Ein Desaster"

Dominik Herrmann vom Bamberger Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen sagt auf SPIEGEL-Anfrage, die Sicherheitslücke sei für die betroffenen Apotheken "ein Desaster": Medizinische Daten beziehungsweise Daten zu Medikamentbestellungen gehörten zu den kritischsten Daten, mit denen man als Unternehmen hantieren könne. So wirbt die Sanicare-Website beispielsweise mit dem Motto "Vertrauen ist die beste Medizin".

Mindestens seit Februar ein Problem

Dass Dritte wirklich die Chance hatten, in fremde Profile einzudringen, habe er mit eigens für den Nachweis angelegten Test-Accounts ausprobiert, berichtet Herrmann. Auf die Fährte des Problems hatte die Bamberger Forscher ein Nutzer ihrer Website "PrivacyScore"  gebracht. Das Portal ermöglicht es, Websites automatisch auf gängige Datenschutz- und Sicherheitsprobleme hin untersuchen zu lassen.

Im Februar hatte ein Nutzer dort mehrere Listen mit dem Titel "Registered Internet Pharmacies in Germany (which are pharmacies)" hochgeladen , was dazu führte, dass der Onlinedienst die Apotheken-Websites überprüfte. Ergebnis der technischen Analyse war, dass auffallend viele der Websites dasselbe Sicherheitsproblem hatten.

Laut Tagesschau.de hängt das damit zusammen, dass alle betroffenen Apotheken Software derselben Firma nutzen - von Awinta, einem Unternehmen, das eigenen Angaben zufolge "Marktführer für Apothekensoftware" ist. Gegenüber Tagesschau.de hat Awinta bereits eingeräumt, dass es ein Problem gab: Die Ursache sei erkannt und der Fehler behoben worden, heißt es demnach in einer Stellungnahme, außerdem ist von einer "manuellen Fehlkonfiguration" die Rede.

Wie lange genau es die Lücke auf den Online-Apotheken-Websites schon gab, sei nicht bekannt, sagt Dominik Herrmann. Klar sagen lasse sich dank der PrivacyScore-Daten aber, dass Unbefugte die Lücke mindestens seit Februar für ihre Zwecke hätten nutzen können. Der NDR schreibt allerdings , dass Awinta betont, dass es nicht zu einem kriminellen Datenmissbrauch gekommen sei.

Die Wiedergabe wurde unterbrochen.