Schwere Sicherheitslecks bei mehr als 170 Versandapotheken

Mehr als 170 Arzneimittel-Versandhändler hatten offenbar ein großes Datensicherheitsproblem: Wie die ARD-Tagesschau nach Recherchen von WDR und NDR am heutigen Donnerstagmorgen berichtet, konnten Internetnutzer alle aktiven Bestellvorgänge einsehen, indem sie in der Adresszeile ihres Browsers die Wörter „server-status“ eingaben. Einsehbar waren dann alle aktiven Vorgänge, die sich zu diesem Zeitpunkt auf der Seite abspielten. 

Der Tagesschau zufolge waren dort auch die sogenannten Sessions-IDs von Kunden zu sehen – offenbar hätte man mit diesem Code sehr einfach in das komplette Profil des Kunden eindringen können, wo die Mailadresse, der Klarname und alle jemals bestellten Arzneimittel aufgelistet sind. Dem Bericht zufolge war dies bis zum vergangenen Dienstag möglich, inzwischen ist der Fehler wohl abgestellt. Betroffen waren demnach sehr viele kleine Internet-Shops, aber auch namhafte Versender wie Apotal oder Sanicare.

Hinter dem Datenleck steht eine Sicherheitspanne bei Awinta

Grund für dieses Leck könnte wohl ein Problem beim Dienstleister Awinta gewesen sein. Denn alle betroffenen Versender waren Kunden bei Awinta. Eigenen Angaben zufolge sind mehr als 7000 Apotheken in Deutschland Kunde bei der Noventi-Tochter. Auf Nachfrage des WDR und des NDR gab das Unternehmen das Problem sogar zu: Laut Tagesschau hat Awinta gegenüber seinen Kunden bereits am Donnerstag vergangener Woche erklärt, die Lücke geschlossen zu haben. Außerdem sei „ein Zugriff auf die Kundenhistorie ausgeschlossen“ gewesen. Folgt man den Darstellungen der Tagesschau, ist beides falsch.

Dem Bericht zufolge teilte Awinta dann aber auf Nachfrage der Journalisten mit: „Entgegen anderslautenden internen Informationen war es tatsächlich noch möglich, auf den von ihnen genannten Webshop zuzugreifen. Die von uns bereits erwähnte manuelle Fehlkonfiguration bestand leider noch weiter.“ Inzwischen habe man allerdings die Ursache erkannt und das Problem behoben. „Zusätzlich wurden alle Sessions in den Webshops geschlossen und weitere Zugriffe damit verhindert“, so Awinta.

Inzwischen hat Awinta selbst auch eine Pressemitteilung zu den Vorwürfen herausgegeben, in der das Unternehmen ein „zeitweise bestehendes Problem bei den Sicherheitseinstellungen in kleinen Teilbereichen des Webshop“ einräumt. Zu der Ursache teilt Awinta mit: „Der Fehler lag in einer manuellen Fehlkonfiguration der Sicherheitseinstellungen, welche ausschließlich durch unsere Mitarbeiter vorgenommen werden. Die Überprüfung der Ursachen, die letztlich zu diesem Fehler geführt haben, ist derzeit noch im Gange.“

Wie viele (Versand-)Apotheken betroffen sind, dazu äußert sich Awinta in der Mitteilung nicht. Es heißt lediglich: „Aktuell nutzt eine Vielzahl von Kunden Webshop-Lösungen von awinta. Da diese auf verschiedenen Servern laufen, war nur ein sehr kleiner Teil der Kunden von dieser Sicherheitslücke potentiell betroffen.“ Man lege aber großen Wert darauf festzustellen, dass es nach Erkenntnissen des Unternehmen selbst nur zu wenigen Zugriffen gekommen ist, ein krimineller Datenmiss brauch kann die Awinta „ausschließen“.

IT-Wissenschafter der Uni-Bamberg sollen zuerst auf das Datenleck gestoßen sein. „Die Automatisierung dieser Angriffe ist vergleichsweise einfach“, sagt Dominik Herrmann vom Lehrstuhl Privatsphäre und Sicherheit in Informationssystemen der Uni Bamberg. „Einem absoluten Anfänger kann man die nötigen Schritte beibringen. Studenten der Informatik wären in der Lage, so was zu tun.“ Dem Softwareunternehmen Awinta passt das das Vorgehen der Forscher überhaupt nicht. In der Mitteilung teilt Awinta dazu mit: „Die awinta begrüßt es grundsätzlich, dass Universitäten zur Verbesserung der IT-Sicherheit forschen. Kein Verständnis hat das Unternehmen dafür, dass eine von der Universität Bamberg entdeckte Lücke in umfassender Weise ausgenützt wurde, ohne die awinta umgehend zu informieren.“

Apotal: Kein Shop auf der Welt kann nicht geknackt werden

Auch die beiden „großen“ betroffenen Versender Apotal und Sanicare äußerten sich auf Nachfrage. Apotal verwies in einer Stellungnahme auf eine Mitteilung von Awinta, wonach das Problem mittlerweile behoben sei. Generell halte er das System für sicher, erklärte Joachim Dadaniak von Apotal. Es gebe aber keinen Shop auf der Welt, der nicht geknackt werden könne. Über die mittlerweile behobene Sicherheitslücke will die Apotheke ihre Kunden offen und ehrlich informieren.

Sanicare teilte mit, dass sie den Datenschutz seit jeher besonders ernst nehme. „Die grundsätzliche Struktur der IT ist jedoch nach dem heutigen Stand der Technik ausdrücklich als sicher und datenschutzrechtlich valide zu bezeichnen.“ Die konkrete Sicherheitslücke liege „in ausschließlicher Verantwortung des technischen Dienstleiters, der Firma Awinta“.

Ist das Datenleck also ein alleiniges Problem des Softwareanbieters Awinta? Aus Sicht vom ehemaligen Bundesdatenschutzbeauftragten Peter Schaar nicht. Schaar erklärt in dem Tagesschau-Bericht, dass nach seiner Ansicht auch Online-Apotheken selbst „sich davon vergewissern müssen, dass derjenige, den sie beauftragen, die notwenigen technischen Maßnahmen zum Schutz der persönlichen Daten trifft.“ Schaar geht zudem davon aus, dass die betroffenen Online-Apotheken auch ihre Kunden darüber informieren müssen, „dass ihre Daten für einen gewissen Zeitraum eben nicht sicher vor unberechtigtem Zugriff waren.“