Schwere Sicherheitslecks bei mehr als 170 Versandapotheken

Inzwischen hat Awinta selbst auch eine Pressemitteilung zu den Vorwürfen herausgegeben, in der das Unternehmen ein „zeitweise bestehendes Problem bei den Sicherheitseinstellungen in kleinen Teilbereichen des Webshop“ einräumt. Zu der Ursache teilt Awinta mit: „Der Fehler lag in einer manuellen Fehlkonfiguration der Sicherheitseinstellungen, welche ausschließlich durch unsere Mitarbeiter vorgenommen werden. Die Überprüfung der Ursachen, die letztlich zu diesem Fehler geführt haben, ist derzeit noch im Gange.“

Wie viele (Versand-)Apotheken betroffen sind, dazu äußert sich Awinta in der Mitteilung nicht. Es heißt lediglich: „Aktuell nutzt eine Vielzahl von Kunden Webshop-Lösungen von awinta. Da diese auf verschiedenen Servern laufen, war nur ein sehr kleiner Teil der Kunden von dieser Sicherheitslücke potentiell betroffen.“ Man lege aber großen Wert darauf festzustellen, dass es nach Erkenntnissen des Unternehmen selbst nur zu wenigen Zugriffen gekommen ist, ein krimineller Datenmiss brauch kann die Awinta „ausschließen“.

IT-Wissenschafter der Uni-Bamberg sollen zuerst auf das Datenleck gestoßen sein. „Die Automatisierung dieser Angriffe ist vergleichsweise einfach“, sagt Dominik Herrmann vom Lehrstuhl Privatsphäre und Sicherheit in Informationssystemen der Uni Bamberg. „Einem absoluten Anfänger kann man die nötigen Schritte beibringen. Studenten der Informatik wären in der Lage, so was zu tun.“ Dem Softwareunternehmen Awinta passt das das Vorgehen der Forscher überhaupt nicht. In der Mitteilung teilt Awinta dazu mit: „Die awinta begrüßt es grundsätzlich, dass Universitäten zur Verbesserung der IT-Sicherheit forschen. Kein Verständnis hat das Unternehmen dafür, dass eine von der Universität Bamberg entdeckte Lücke in umfassender Weise ausgenützt wurde, ohne die awinta umgehend zu informieren.“

Apotal: Kein Shop auf der Welt kann nicht geknackt werden

Auch die beiden „großen“ betroffenen Versender Apotal und Sanicare äußerten sich auf Nachfrage. Apotal verwies in einer Stellungnahme auf eine Mitteilung von Awinta, wonach das Problem mittlerweile behoben sei. Generell halte er das System für sicher, erklärte Joachim Dadaniak von Apotal. Es gebe aber keinen Shop auf der Welt, der nicht geknackt werden könne. Über die mittlerweile behobene Sicherheitslücke will die Apotheke ihre Kunden offen und ehrlich informieren.

Sanicare teilte mit, dass sie den Datenschutz seit jeher besonders ernst nehme. „Die grundsätzliche Struktur der IT ist jedoch nach dem heutigen Stand der Technik ausdrücklich als sicher und datenschutzrechtlich valide zu bezeichnen.“ Die konkrete Sicherheitslücke liege „in ausschließlicher Verantwortung des technischen Dienstleiters, der Firma Awinta“.

Ist das Datenleck also ein alleiniges Problem des Softwareanbieters Awinta? Aus Sicht vom ehemaligen Bundesdatenschutzbeauftragten Peter Schaar nicht. Schaar erklärt in dem Tagesschau-Bericht, dass nach seiner Ansicht auch Online-Apotheken selbst „sich davon vergewissern müssen, dass derjenige, den sie beauftragen, die notwenigen technischen Maßnahmen zum Schutz der persönlichen Daten trifft.“ Schaar geht zudem davon aus, dass die betroffenen Online-Apotheken auch ihre Kunden darüber informieren müssen, „dass ihre Daten für einen gewissen Zeitraum eben nicht sicher vor unberechtigtem Zugriff waren.“