Sicherheitsleck bei mehr als 170 Online-Apotheken
Angreifer hätten über Wochen persönliche Daten und Bestelllisten von Kunden mehrerer Online-Apotheken mitlesen können. Betroffen waren Shops, die Software der Firma Awinta nutzen.
Wissenschaftler der Universität Bamberg haben eine Sicherheitslücke bei mehr als 170 Online-Apotheken aufgedeckt, die Shop-Software der Firma Awinta benutzen. Das geht aus einem Bericht von NDR und WDR hervor. Demnach konnten Angreifer durch einfache Ergänzung von "server-status" in der Adresszeile des Browsers eine Liste aller aktuellen Online-Vorgänge auf dem jeweiligen Server abrufen.
Die Liste soll auch Session-IDs enthalten haben, sodass es Angreifern damit möglich gewesen sein soll, in Kunden-Accounts einzudringen und persönliche Daten und Bestellungen mitzulesen. Die Lücke wurde auf den betroffenen Servern bis Dienstagabend geschlossen. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar spricht von einem "ziemlich schwerwiegenden Vorfall".
Angriff "vergleichsweise einfach"
Name, Adresse und Bestelllisten hätten Angreifer auslesen und damit auf den Gesundheitszustand von Kunden der betroffenen Online-Apotheken schließen können. Nach Angabe der Bamberger Forscher sei dies "vergleichsweise einfach" und beispielsweise jedem Studenten der Informatik möglich gewesen. Die Wissenschaftler hatten dazu testweise eine Reihe von Kunden-Accounts bei verschiedenen Online-Apotheken angelegt. Das Sicherheitsleck betraf tagesschau.de zufolge nicht nur große Versandapotheken wie Sanicare und Apotal, sondern auch mehr als 170 kleinere Online-Apotheken, die allesamt Apotheken-Software von Awinta benutzen. Awinta bezeichnet sich als marktführendes Unternehmen in dem Segment und hat eigenen Angaben nach mehr als 7000 Kunden.
Awinta soll dem Bericht zufolge gegenüber seinen Kunden bereits am Donnerstag vergangener Woche bestätigt haben, dass die Lücke geschlossen worden sei und keinerlei Zugriff auf die Kundenhistorie möglich gewesen sein soll. Dies musste Awinta aber zurücknehmen, nachdem das Sicherheitsproblem nachweislich weiterhin bestand. Erst fünf Tage nach der ersten Verlautbarung konnte die Lücke dann am Dienstag geschlossen werden. Die betroffenen Online-Apotheken haben mittlerweile das Update eingespielt, sodass kein Zugriff mehr auf sensible Daten möglich sei.
Kundenaufklärung gefordert
Der ehemalige Bundesdatenschutzbeauftrage Peter Schaar, den tagesschau.de nach Sichtung der vorhandenen Unterlagen dazu befragte, stufte den Vorfall als "ziemlich schwerwiegend" ein, weil ein Zugriff auf hochsensible Daten möglich war, die nach dem Bundesdatenschutzrecht besonders schutzbedürftig seien. Er kritisierte außerdem, dass die Online-Apotheken sich nicht selbst vergewissert hätten, dass der notwendige Schutz persönlicher Daten technisch ausreichend umgesetzt war. Sanicare soll dem Bericht zufolge die ausschließliche Verantwortung auf den Dienstleister Awinta abgeschoben haben.
Schaar gehe davon aus, dass die Online-Apotheken ihre Kunden darüber aufklären, dass auf ihre Daten über einen Zeitraum von mehreren Wochen hätte unbefugt zugegriffen werden können. Apotal hätte in einer Stellungnahme gegenüber NDR und WDR mitgeteilt, seine Kunden offen und ehrlich über die Sicherheitslücke zu informieren. Nach Einschätzung des Unternehmens sei das System jetzt grundsätzlich sicher und würde den Anforderungen des Datenschutzrechtes entsprechen. (olb)
