Gesundheitspolitik

Datenpanne bei mehr als 170 Versandapotheken

IT-Wissenschaftler decken Konfigurationsfehler bei Awinta auf

BERLIN (bro) | Mehr als 170 Arzneimittelversandhändler hatten offenbar ein großes Datensicherheits­problem: Wie die ARD-Tagesschau nach Recherchen von WDR und NDR am vergangenen Donnerstag berichtete, konnten Internetnutzer alle aktiven Bestellvorgänge einsehen, indem sie in der Adresszeile ihres Browsers die Wörter „server-status“ eingaben. Einsehbar waren dann alle aktiven Vorgänge, die sich zu diesem Zeitpunkt auf der Seite abspielten. Dem Bericht zu­folge war dies bis zum vergangenen Dienstag möglich, inzwischen ist der Fehler wohl abgestellt. Dahinter steckt wohl ein Problem des Software-Anbieters Awinta. Betroffen waren demnach sehr viele kleine Internet-Shops, aber auch namhafte Versender wie Apotal oder Sanicare.

So seien auch die sogenannten Sessions-IDs von Kunden einsehbar gewesen – offenbar hätte man mit diesem Code sehr einfach in das komplette Profil des Kunden eindringen können, wo die Mailadresse, der Klarname und alle jemals bestellten Arzneimittel aufgelistet sind.

Sicherheitspanne bei Awinta

Grund für dieses Leck könnte wohl ein Problem beim Apothekensoftwareanbieter Awinta ge­wesen sein. Denn alle betroffenen Versender waren Kunden bei Awinta. Eigenen Angaben zufolge sind mehr als 7000 Apotheken in Deutschland Kunde bei der Noventi-Tochter. Auf Nachfrage des WDR und des NDR gab das Unternehmen das Problem sogar zu: Laut Tagesschau hat Awinta gegenüber seinen Kunden bereits am Donnerstag vergangener Woche erklärt, die Lücke geschlossen zu haben. Außerdem sei „ein Zugriff auf die Kundenhistorie ausgeschlossen“ gewesen. Folgt man den Darstellungen der Tagesschau, ist beides falsch.

Dem Bericht zufolge teilte Awinta dann aber auf Nachfrage der Journalisten mit: „Entgegen anderslautenden internen Informationen war es tatsächlich noch möglich, auf den von ihnen genannten Webshop zuzugreifen. Die von uns bereits erwähnte manuelle Fehlkonfiguration bestand leider noch weiter.“ Inzwischen habe man allerdings die Ursache erkannt und das Problem behoben. „Zusätzlich wurden alle Sessions in den Webshops geschlossen und weitere Zugriffe damit verhindert“, so Awinta.

Inzwischen hat Awinta selbst auch eine Pressemitteilung zu den Vorwürfen herausgegeben, in der das Unternehmen ein „zeitweise bestehendes Problem bei den Sicherheitseinstellungen in kleinen Teilbereichen des Webshops“ einräumt. Zu der Ursache teilt Awinta mit: „Der Fehler lag in einer manuellen Fehlkonfiguration der Sicherheitseinstellungen, welche ausschließlich durch unsere Mitarbeiter vorgenommen werden. Die Überprüfung der Ursachen, die letztlich zu diesem Fehler geführt haben, ist derzeit noch im Gange.“ Wie viele (Versand-)Apotheken betroffen sind, dazu äußert sich Awinta in der Mitteilung nicht.

© Kai Felmy

Bamberger IT-Experten fanden Datenleck

IT-Wissenschaftler der Uni Bamberg sollen zuerst auf das Datenleck gestoßen sein. Dem Softwareunternehmen Awinta passt das Vorgehen der Forscher überhaupt nicht. In der Mitteilung teilt Awinta dazu mit: „Die Awinta begrüßt es grundsätzlich, dass Universitäten zur Verbesserung der IT-Sicherheit forschen. Kein Verständnis hat das Unternehmen dafür, dass eine von der Universität Bamberg entdeckte Lücke in umfassender Weise ausgenützt wurde, ohne die awinta umgehend zu informieren.“

Auch die beiden „großen“ betroffenen Versender Apotal und Sanicare äußerten sich auf Nachfrage. Apotal verwies in einer Stellungnahme auf eine Mitteilung von Awinta, wonach das Problem mittlerweile behoben sei. Generell ­halte man das System für sicher, es gebe aber keinen Shop auf der Welt, der nicht geknackt werden könne. Sanicare betont, dass die konkrete Sicherheitslücke „in ausschließlicher Verantwortung des technischen Dienstleiters, der Firma Awinta“ liege.

Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar sieht in dem Datenleck kein alleiniges Problem des Softwareanbieters Awinta. Schaar erklärt im Tagesschau-Bericht, auch Online-Apotheken müssten sich selbst „davon vergewissern, dass derjenige, den sie beauftragen, die notwendigen technischen Maßnahmen zum Schutz der persönlichen Daten trifft“. Kunden müssten über den Vorfall informiert werden. |

AZ 2018, Nr. 22, S. 1, 28.05.2018

Seite drucken
Startseite

Das könnte Sie auch interessieren

Schwere Sicherheitslecks bei mehr als 170 Versandapotheken

KonfigurationsFehler bei Awinta

Schwere Sicherheitslecks bei mehr als 170 Versandapotheken

Informatik-Experte belastet Awinta in Datenschutz-Affäre

Sicherheitslecks bei Versendern

Informatik-Experte belastet Awinta in Datenschutz-Affäre

Mein liebes Tagebuch

Die letzte Woche

Mein liebes Tagebuch

IT-Panne bei Commerzbank trifft auch Apotheker

Blockierte Konten

IT-Panne bei Commerzbank trifft auch Apotheker

Wick MediNait plus fünfmal Paracetamol: Wie schlagen sich die Versender?

WDR „Servicezeit“

Wick MediNait plus fünfmal Paracetamol: Wie schlagen sich die Versender?

Doch nicht „One“ für alle: Awinta gibt Zusammenführung der Softwarelinien auf

Warenwirtschaft

Doch nicht „One“ für alle: Awinta gibt Zusammenführung der Softwarelinien auf

Leicht verbessert, aber nicht gut

Das Technikmagazin Chip testet Hotlines der Versandapotheken

Leicht verbessert, aber nicht gut

Logistikprobleme bei Apotal

Versandapotheken

Logistikprobleme bei Apotal

Versandapotheken: Mängelbei der Beratung

Versandapotheken: Mängelbei der Beratung

Falsch programmiertes Update, Lauer-Kassen starten nicht

Nur Notkasse

Falsch programmiertes Update, Lauer-Kassen starten nicht

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.

Real-World-Daten zeigen Mehrwert von Cineol gegenüber Nasenspray-Monotherapie bei Rhinosinusitis
Aktuelle Ausgabe
NR. 17
Cover Jetzt online lesen
Aktuelle Ausgabe
NR. 51-52
Cover Jetzt online lesen
Meist gelesen
Meist kommentiert

Meist gelesen

Bei Schwangeren und Stillenden muss die tägliche Aufnahme von Estragol unter 0,05 mg/Person pro Tag liegen. (Symbolfoto: luna / AdobeStock)

Kein Fencheltee in Schwangerschaft, Stillzeit und unter vier Jahren
„Nicht die einfachen Wege gehen!“, das fordert der Verfassungsrechtler Prof. Udo Di Fabio. (Foto: ABDA/Wagenzik)

Ende des Präsenzapothekers: Staat würde gegen seine Schutzpflicht verstoßen
(Foto: IMAGO / Guido Schiefer)

Betriebsergebnis: Teils weniger als ein Krankenhausapothekergehalt
Zur akuten Migräne-Behandlung gibt es bald vier rezeptfreie Triptane zur Auswahl. (Foto: Schelbert)

Das vierte Triptan wird rezeptfrei
Sieht nicht gut aus für Deutschlands Apotheken... es gibt nur noch 17500, Tendenz weiter fallend. (Foto: Alex Schelbert)

Mein liebes Tagebuch

Meist kommentiert

Sieht nicht gut aus für Deutschlands Apotheken... es gibt nur noch 17500, Tendenz weiter fallend. (Foto: Alex Schelbert)

Mein liebes Tagebuch
Was fällt dem BMG als Antwort auf das Skonto-Urteil des Bundesgerichtshofs ein?  (Foto: IMAGO / photothek)

Was bewegt sich in der Skonto-Frage?
Wie stabil ist Paxlovid? Stabilitätsanalysen geben Auskunft. (Foto: Mike Mareen/AdobeStock)

Wie lange ist Paxlovid haltbar?
Die Ständige Impfkommission (STIKO) empfiehlt in Deutschland allen Personen ab 60 Jahren als Standardimpfung sich jährlich im Herbst gegen Influenza impfen zu lassen. (Foto: oneinchpunch / AdobeStock)

Ab Grippe-Saison 2024/2025: Lebendimpfstoffe am besten nur noch trivalent
Den Krankenkassen und damit der Solidargemeinschaft entstehen Jahr für Jahr beachtliche Schäden durch Betrug. (Foto: IMAGO / Funke Foto Services)

AOK Rheinland/Hamburg: Schaden von 4,87 Millionen durch Betrug und Korruption

Apotheken-Protest
Article teaser image

Schlafstörungen

» Zu den Artikeln
Handverkauf

Pharmazeutische Dienstleistungen

via-Studie

Bürokratiekosten bei 
GKV-Rezepten

Impfen in Apotheken
Article image

Rezeptur

In der Schwebe halten

Wirkstoffe in oralen Suspensionen optimal verarbeiten

» mehr
DAZ Abo

Lernen und Punkten »

Pädiatrie

Für eine unbeschwerte Kindheit

Für eine unbeschwerte Kindheit