Sicherheitslecks bei Versendern

Informatik-Experte belastet Awinta in Datenschutz-Affäre

Karlsruhe - 25.05.2018, 14:30 Uhr

Ein Informatiker der Uni Bamberg belastet den Apothekensoftware-Anbieter Awinta wegen Sicherheitsproblemen in den Webshops von Versandapotheken. (Foto: Imago)

Ein Informatiker der Uni Bamberg belastet den Apothekensoftware-Anbieter Awinta wegen Sicherheitsproblemen in den Webshops von Versandapotheken. (Foto: Imago)


Ein Informatiker von der Uni Bamberg hat eklatante Sicherheitslücken in vielen Online-Shops gefunden, die vom Apotheken-Dienstleister Awinta gepflegt werden. Gegenüber DAZ.online erklärt er, dass die Probleme womöglich schon im Februar bestanden. Laut dem Informatiker dürften sich bei vielen Online-Shops Lücken finden lassen. Die Versandapotheke Sanicare erwägt, in der Sache Strafanzeige zu stellen.

Die Datenschutz-Affäre bei Versandapotheken und dem Software-Anbieter Awinta, über den WDR und NDR am gestrigen Donnerstag berichteten, könnte sich ausweiten. „Kurzzeitige Sicherheitslücke geschlossen“, überschrieb Awinta eine Erklärung dazu vom vergangenen Freitag. Doch offenbar unterschätzte der Dienstleister das Problem: Der Bamberger Informatikprofessor Dominik Herrmann berichtet gegenüber DAZ.online, dass ein anonymer Nutzer auf der von seinem Team betriebenen Plattform privacyscore.org bereits im Februar systematisch hunderte Apotheken-Shops auf Schwachstellen getestet hat. Laut den automatisierten Auswertungen zu Sicherheitslücken lag die problematische Fehlkonfiguration schon damals vor. Zur Erklärung: Mithilfe von PrivacyScore können Internetnutzer Websites hinsichtlich einer Reihe von Sicherheits- und Datenschutzfunktionen untersuchen und bewerten.

Vor gut zwei Wochen fiel dem Informatiker-Team bei diesen Ergebnissen auf, dass es eine Häufung von Apotheken-Webshops gab, bei denen eine eigentlich geheime Seite mit Informationen zum Server-Status öffentlich abrufbar war. Es handelte sich um Webshops, die von Awinta gepflegt wurden. Das Problem bezeichnet Herrmann als „Anfängerfehler“, der im Bachelorstudium schon in Einführungskursen zur IT-Sicherheit thematisiert würde. Er kontaktierte Journalisten, mit denen er ohnehin in Austausch war.

Ab wann waren alle Lecks behoben?

Awinta bemerkte nach einiger Zeit die Aktivitäten der Informatiker auf seinen Systemen und schritt ein. Doch offenbar gab die Firma gegenüber ihren Kunden dann vorschnell Entwarnung. Nach Informationen von DAZ.online wiesen erst die vom WDR und NDR recherchierenden Journalisten das Unternehmen darauf hin, dass die Lücke bei mehreren Versendern weiterhin bestand. „Die von uns bereits erwähnte manuelle Fehlkonfiguration bestand leider noch weiter“, musste Awinta deswegen auch eingestehen.

Gegenüber DAZ.online teilte Awinta mit, dass nur die Webshops von Apotheken betroffen waren, die im Versandhandel tätig sind. Andere Bereiche der Apothekensoftware seien nicht betroffen. Wie viele Webshops von wie vielen Apotheken unsicher waren, dazu will der Software-Dienstleister nicht viel sagen: „Aus Sicherheitsgründen“ will man nicht mitteilen, um wie viele Shops es sich handelte. „Von dieser Panne war nur eine sehr kleine Anzahl an Webshops betroffen“, erklärt die Firma lediglich. Auch das sehen die Bamberger Computerexperten anders: Laut den Analysen der Informatiker wiesen 177 Versandapotheken das inzwischen behobene Sicherheitsproblem auf – darunter Branchengrößen wie Sanicare oder Apotal.



Hinnerk Feldwisch-Drentrup, Autor DAZ.online
redaktion@daz.online


Diesen Artikel teilen:


0 Kommentare

Das Kommentieren ist aktuell nicht möglich.