Gesundheitspolitik

Datenpanne bei mehr als 170 Versandapotheken

IT-Wissenschaftler decken Konfigurationsfehler bei Awinta auf

BERLIN (bro) | Mehr als 170 Arzneimittelversandhändler hatten offenbar ein großes Datensicherheits­problem: Wie die ARD-Tagesschau nach Recherchen von WDR und NDR am vergangenen Donnerstag berichtete, konnten Internetnutzer alle aktiven Bestellvorgänge einsehen, indem sie in der Adresszeile ihres Browsers die Wörter „server-status“ eingaben. Einsehbar waren dann alle aktiven Vorgänge, die sich zu diesem Zeitpunkt auf der Seite abspielten. Dem Bericht zu­folge war dies bis zum vergangenen Dienstag möglich, inzwischen ist der Fehler wohl abgestellt. Dahinter steckt wohl ein Problem des Software-Anbieters Awinta. Betroffen waren demnach sehr viele kleine Internet-Shops, aber auch namhafte Versender wie Apotal oder Sanicare.

So seien auch die sogenannten Sessions-IDs von Kunden einsehbar gewesen – offenbar hätte man mit diesem Code sehr einfach in das komplette Profil des Kunden eindringen können, wo die Mailadresse, der Klarname und alle jemals bestellten Arzneimittel aufgelistet sind.

Sicherheitspanne bei Awinta

Grund für dieses Leck könnte wohl ein Problem beim Apothekensoftwareanbieter Awinta ge­wesen sein. Denn alle betroffenen Versender waren Kunden bei Awinta. Eigenen Angaben zufolge sind mehr als 7000 Apotheken in Deutschland Kunde bei der Noventi-Tochter. Auf Nachfrage des WDR und des NDR gab das Unternehmen das Problem sogar zu: Laut Tagesschau hat Awinta gegenüber seinen Kunden bereits am Donnerstag vergangener Woche erklärt, die Lücke geschlossen zu haben. Außerdem sei „ein Zugriff auf die Kundenhistorie ausgeschlossen“ gewesen. Folgt man den Darstellungen der Tagesschau, ist beides falsch.

Dem Bericht zufolge teilte Awinta dann aber auf Nachfrage der Journalisten mit: „Entgegen anderslautenden internen Informationen war es tatsächlich noch möglich, auf den von ihnen genannten Webshop zuzugreifen. Die von uns bereits erwähnte manuelle Fehlkonfiguration bestand leider noch weiter.“ Inzwischen habe man allerdings die Ursache erkannt und das Problem behoben. „Zusätzlich wurden alle Sessions in den Webshops geschlossen und weitere Zugriffe damit verhindert“, so Awinta.

Inzwischen hat Awinta selbst auch eine Pressemitteilung zu den Vorwürfen herausgegeben, in der das Unternehmen ein „zeitweise bestehendes Problem bei den Sicherheitseinstellungen in kleinen Teilbereichen des Webshops“ einräumt. Zu der Ursache teilt Awinta mit: „Der Fehler lag in einer manuellen Fehlkonfiguration der Sicherheitseinstellungen, welche ausschließlich durch unsere Mitarbeiter vorgenommen werden. Die Überprüfung der Ursachen, die letztlich zu diesem Fehler geführt haben, ist derzeit noch im Gange.“ Wie viele (Versand-)Apotheken betroffen sind, dazu äußert sich Awinta in der Mitteilung nicht.

© Kai Felmy

Bamberger IT-Experten fanden Datenleck

IT-Wissenschaftler der Uni Bamberg sollen zuerst auf das Datenleck gestoßen sein. Dem Softwareunternehmen Awinta passt das Vorgehen der Forscher überhaupt nicht. In der Mitteilung teilt Awinta dazu mit: „Die Awinta begrüßt es grundsätzlich, dass Universitäten zur Verbesserung der IT-Sicherheit forschen. Kein Verständnis hat das Unternehmen dafür, dass eine von der Universität Bamberg entdeckte Lücke in umfassender Weise ausgenützt wurde, ohne die awinta umgehend zu informieren.“

Auch die beiden „großen“ betroffenen Versender Apotal und Sanicare äußerten sich auf Nachfrage. Apotal verwies in einer Stellungnahme auf eine Mitteilung von Awinta, wonach das Problem mittlerweile behoben sei. Generell ­halte man das System für sicher, es gebe aber keinen Shop auf der Welt, der nicht geknackt werden könne. Sanicare betont, dass die konkrete Sicherheitslücke „in ausschließlicher Verantwortung des technischen Dienstleiters, der Firma Awinta“ liege.

Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar sieht in dem Datenleck kein alleiniges Problem des Softwareanbieters Awinta. Schaar erklärt im Tagesschau-Bericht, auch Online-Apotheken müssten sich selbst „davon vergewissern, dass derjenige, den sie beauftragen, die notwendigen technischen Maßnahmen zum Schutz der persönlichen Daten trifft“. Kunden müssten über den Vorfall informiert werden. |

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.