apotheken.de schließt Sicherheitslücke

Der Chaos Computer Club (CCC) hatte apotheken.de am 25. August 2023 darüber informiert, dass man eine Sicherheitslücke entdeckt und Zugriff auf den Server gehabt habe. Unter anderem habe man auf den Quellcode, verschiedene Konfigurationsdaten und Datenbankbackups zugreifen können. Die Sicherheitslücke wurde sofort nach dem Hinweis geschlossen, betont apotheken.de. Zudem habe man den Landesdatenschutzbeauftragten in Baden-Württemberg als zuständige Aufsichtsbehörde informiert.

Der Chaos Computer Club ist der bekannteste Verein von Computer-Hackern in Deutschland. Mitglieder des CCC decken als „ethische Hacker“, die keinen Schaden verursachen wollen („White-Hat-Hacker“), Sicherheitslücken in den Datensystemen von Unternehmen auf und sorgen so dafür, dass sie geschlossen werden. „Wir wurden am Morgen des 25. August von zwei Mitgliedern des CCC darüber informiert, dass es in unseren Systemen eine Sicherheitslücke gebe“, erzählt apotheken.de-Leiterin Sarah Wessinger. „Nachdem wir im Laufe des Vormittags verifizieren konnten, dass die Mail des CCC echt ist und wir tatsächlich eine Sicherheitslücke haben, wurde diese Lücke sofort geschlossen“. Außerdem habe man umgehend den Landesdatenschützer über eine Datenpanne informiert.

Keine weiteren Zugriffe

In den vergangenen zwei Wochen hat ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditierter, unabhängiger Gutachter eine Analyse durchgeführt, ob außer den CCC-Hackern weitere Personen unberechtigten Zugriff auf den Server hatten. „Dieser so genannte Daten-Forensiker hat keine unberechtigten Zugriffe, außer den durch den CCC, festgestellt. Nach heutigem Wissensstand gab es keinerlei Zugriffe auf Patienten-, Rezept- oder Apothekendaten, auch nicht durch den CCC“, heißt es in einem Schreiben, mit dem apotheken.de am heutigen Dienstag alle Kunden über die Datenpanne informiert hat.

Sensible Daten sind nicht in fremde Hände gelangt

„Wir waren sehr erschrocken, dass es diese Sicherheitslücke gab, und haben sie natürlich sofort beseitigt!“, erklärt Wessinger. „Umso beruhigender, dass sie von niemandem außer dem CCC entdeckt wurde. Zum Glück war die Lücke sehr schnell zu schließen, sodass kein weiterer unberechtigter Zugriff mehr möglich ist.“ Da keine personenbezogenen Daten oder gar Gesundheitsinformationen in fremde Hände gelangt sind, seien seitens der Apotheken keine eigenen Maßnahmen erforderlich, betont Wessinger.

apotheken.de ist ein Tochterunternehmen des Deutschen Apotheker Verlags in Stuttgart, das unter anderem Apotheken-Websites und -Apps sowie eine große Zahl weiterer Online-Services für das Marketing anbietet. Beispielsweise können über das Online-Vorbestellungssystem schon seit Jahren Privat-E-Rezepte an Apotheken übermittelt werden. Bundesweite Aufmerksamkeit erregte apotheken.de 2020, als man die Zusammenarbeit mit dem Telemedizin-Anbieter TeleClinic fristlos beendete, nachdem der E-Rezept-Pionier von der DocMorris-Mutter Zur Rose AG übernommen wurde.