Gratis
1. Juni 2018 - Technischer Datenschutz

Schwere Datenpanne bei Online-Apotheken

Drucken

Bei mehr als 170 Online-Apotheken kam es zu einer schweren Datenpanne. Das verdeutlicht, dass technischer Datenschutz auch Webshops und Webserver umfasst.

Online-Apotheken Falsch oder unzureichend konfigurierte Webserver machen es Angreifern einfach, personenbezogene Daten zu stehlen (Bild: ironstealth / iStock / Thinkstock)

Wie die Tagesschau meldete, war es den Nutzern von mehr als 170 Online-Apotheken möglich, auf einfachste Art und Weise einen Blick in die Daten gerade aktiver Kunden der Shops zu werfen.

Diese mussten lediglich in die Adresszeile des Browsers das Kommando „server-status” eingeben.

Daraufhin öffnete sich auf dem Bildschirm eine Liste aller Vorgänge, die gerade auf dem Server abliefen. Dazu gehörten die sogenannten „Session-IDs”, über die es Angreifern gelungen wäre, an Informationen des Profils des jeweiligen Kunden zu gelangen.

Einsehbar waren potenziell Namen, Adressen und die Kontodaten der Betroffenen.

Bekannte Namen unter den betroffenen Shops

Unter den Apotheken war eine ganze Reihe bekannter Anbieter, wie etwa Apotal und Sanicare.

Die hohe Zahl der betroffenen Apotheken rührt daher, dass diese die gleiche Software für den Betrieb des Systems einsetzen.

Hier soll es, wie der Softwareanbieter mitteilte, einen manuellen Fehler in der Konfiguration gegeben haben, der den potenziellen Zugriff auf die Kundendaten ermöglichte.

Sicherheitsproblem bestand über längeren Zeitraum

Die Sicherheitslücke entdeckten Forscher der Universität Bamberg. Diese betreibt eine Website, auf der sich verschiedene Online-Angebote in Hinblick auf Datenschutz- und Sicherheitsfunktionen bewerten lassen.

Hier hatte im Februar ein Nutzer anonym mehrere Listen hochgeladen, die den Titel „Registered Internet Pharmacies in Germany” trug. Die Listen weckten die Neugier der Forscher, die feststellten, dass auffallend viele Webseiten das gleiche Problem hatten.

Da die Forscher ihre Arbeit bereits im Februar aufnahmen, bestand die Schwachstelle offenbar unentdeckt über einen längeren Zeitraum.

Auch wenn der Hersteller der Software betont, dass es zu keinem kriminellen Missbrauch der Daten gekommen sei, war das für die Apotheken ein ernstzunehmendes Problem. Denn gerade medizinische Daten verdienen einen besonders hohen Schutz vor unbefugtem Zugriff.

Schwachstelle falsch konfigurierte Webserver

Nicht zuletzt vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) zeigt diese Datenpanne, dass nach wie vor falsch oder unzureichend konfigurierte Webserver ein Einfallstor für Angreifer sein können.

Durch die Vernetzung mit externen Systemen, die Kundendaten auswerten und zur Verfügung stellen, kann es hier zum Abfließen von sensiblen Informationen kommen.

Deswegen ist es unabdingbar, dass Administratoren auf die korrekte und sichere Konfiguration der Webserver achten. Und Datenschutzbeauftragten ist zu empfehlen, sich in dieser Hinsicht bei der IT-Abteilung nach den ergriffenen Maßnahmen zu erkundigen.

Stephan Lamprecht