Sicherheitslücke bei Versandapotheken |
 | 29.05.2018 10:38 Uhr |
Von Anna Pannen / In zahlreichen deutschen Onlineapotheken gab es bis vor Kurzem eine massive Sicherheitslücke. Das haben Informatik-Wissenschaftler der Universität Bamberg mitgeteilt. Für ihr Onlineprojekt Privatyscore.org hatten die Forscher gemeinsam mit Journalisten von NDR und WDR die Shops von deutschen Versandapotheken überprüft.
Sie fanden heraus, dass rund 170 Versender ihre Seiten technisch nicht ausreichend gesichert hatten, sodass kundige Internetnutzer Bestellungen von Kunden hätten ausspähen können.
Die betroffenen Seiten werden über das Softwarehaus Awinta betrieben. Deren Webserver sei nachlässig konfiguriert gewesen, wodurch Nutzer interne Status-Seiten hätten abrufen können, erklärte Professor Dominik Herrmann, Leiter des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen an der Uni Bamberg. Man habe das Unternehmen auf den Fehler hingewiesen und er sei unverzüglich behoben worden. Bis dahin sei es Unbeteiligten jedoch theoretisch möglich gewesen, »persönliche Daten der Kunden auszuspähen, darunter Bestellhistorie und teilweise sogar Zahlungsdaten«.
Möglich sei das durch sogenanntes Session-Hijacking. Dabei verschaffen sich Angreifer Zugriff auf die Browser-Sitzung von Nutzern, die in Onlineshops aktiv sind. »Expertenwissen braucht man dafür nicht«, so Herrmann. Mit der entsprechenden Technik setzten sich seine Studenten schon in der Einführungsvorlesung auseinander.
Laut Awinta gibt es keine Hinweise darauf, dass die Sicherheitslücke ausgenutzt worden sei. »Wir legen Wert darauf festzustellen, dass es nach unseren Kenntnissen zu keinem kriminellen Datenmissbrauch gekommen ist und es sich insgesamt um eine sehr begrenzte Anzahl von Zugriffen handelte«, teilte das Unternehmen mit. Nutzer müssten also keine Angst um ihre Daten haben.
Informatiker Hermann erklärte, derartige Sicherheitsprobleme seien kein Einzelfall. »Hoffentlich nimmt Awinta unseren Fund zum Anlass, auf allen Systemen systematisch nach Schwachstellen zu suchen.« Das Unternehmen kündigte genau das an: »Wir werden die bestehenden intensiven Maßnahmen der Datensicherheit verstärken. Es werden hierzu bereits seit Längerem umfangreiche Sicherheitsüberprüfungen durchgeführt, die weiterhin mit Nachdruck verfolgt werden.« Awinta betreibt die Webseiten vieler großer Versandapotheken, etwa Apotal und Sanicare. /
