Informatik-Experte belastet Awinta in Datenschutz-Affäre

Die Datenschutz-Affäre bei Versandapotheken und dem Software-Anbieter Awinta, über den WDR und NDR am gestrigen Donnerstag berichteten, könnte sich ausweiten. „Kurzzeitige Sicherheitslücke geschlossen“, überschrieb Awinta eine Erklärung dazu vom vergangenen Freitag. Doch offenbar unterschätzte der Dienstleister das Problem: Der Bamberger Informatikprofessor Dominik Herrmann berichtet gegenüber DAZ.online, dass ein anonymer Nutzer auf der von seinem Team betriebenen Plattform privacyscore.org bereits im Februar systematisch hunderte Apotheken-Shops auf Schwachstellen getestet hat. Laut den automatisierten Auswertungen zu Sicherheitslücken lag die problematische Fehlkonfiguration schon damals vor. Zur Erklärung: Mithilfe von PrivacyScore können Internetnutzer Websites hinsichtlich einer Reihe von Sicherheits- und Datenschutzfunktionen untersuchen und bewerten.

Vor gut zwei Wochen fiel dem Informatiker-Team bei diesen Ergebnissen auf, dass es eine Häufung von Apotheken-Webshops gab, bei denen eine eigentlich geheime Seite mit Informationen zum Server-Status öffentlich abrufbar war. Es handelte sich um Webshops, die von Awinta gepflegt wurden. Das Problem bezeichnet Herrmann als „Anfängerfehler“, der im Bachelorstudium schon in Einführungskursen zur IT-Sicherheit thematisiert würde. Er kontaktierte Journalisten, mit denen er ohnehin in Austausch war.

Ab wann waren alle Lecks behoben?

Awinta bemerkte nach einiger Zeit die Aktivitäten der Informatiker auf seinen Systemen und schritt ein. Doch offenbar gab die Firma gegenüber ihren Kunden dann vorschnell Entwarnung. Nach Informationen von DAZ.online wiesen erst die vom WDR und NDR recherchierenden Journalisten das Unternehmen darauf hin, dass die Lücke bei mehreren Versendern weiterhin bestand. „Die von uns bereits erwähnte manuelle Fehlkonfiguration bestand leider noch weiter“, musste Awinta deswegen auch eingestehen.

Gegenüber DAZ.online teilte Awinta mit, dass nur die Webshops von Apotheken betroffen waren, die im Versandhandel tätig sind. Andere Bereiche der Apothekensoftware seien nicht betroffen. Wie viele Webshops von wie vielen Apotheken unsicher waren, dazu will der Software-Dienstleister nicht viel sagen: „Aus Sicherheitsgründen“ will man nicht mitteilen, um wie viele Shops es sich handelte. „Von dieser Panne war nur eine sehr kleine Anzahl an Webshops betroffen“, erklärt die Firma lediglich. Auch das sehen die Bamberger Computerexperten anders: Laut den Analysen der Informatiker wiesen 177 Versandapotheken das inzwischen behobene Sicherheitsproblem auf – darunter Branchengrößen wie Sanicare oder Apotal.