Sicherheitslecks bei Versendern

Informatik-Experte belastet Awinta in Datenschutz-Affäre

Karlsruhe - 25.05.2018, 14:30 Uhr

Ein Informatiker der Uni Bamberg belastet den Apothekensoftware-Anbieter Awinta wegen Sicherheitsproblemen in den Webshops von Versandapotheken. (Foto: Imago)

Ein Informatiker der Uni Bamberg belastet den Apothekensoftware-Anbieter Awinta wegen Sicherheitsproblemen in den Webshops von Versandapotheken. (Foto: Imago)


Gegenseitige Kritik – und mehr Probleme

In seiner Mitteilung zum Datenleck kritisierte der Apotheken-Dienstleister das Vorgehen der Informatiker: „Kein Verständnis haben wir dafür, dass die seit mehreren Tagen von der Universität Bamberg entdeckte Lücke in umfassender Weise ausgenützt wurde, ohne uns zu informieren“, erklärt die Firma. Auch an dieser Stelle widersprechen die Informatik-Experten dem Unternehmen. Auf Nachfrage von DAZ.online erklärte Herrmann, dass Awinta zeitnah benachrichtigt worden sei.

Herrmann schätzt die technische Umsetzung der Shops von Awinta auch an anderer Stelle als problematisch ein: So werden Schlüssel, die Zugriff auf gerade benutzte Kundenkonten erlauben, anstatt in Cookies über die Internetadressen an die Server übertragen. Normalerweise geschehe dies zwar verschlüsselt, doch konnte es in dem aktuellen Fall ausgenutzt werden, um unzulässigen Zugang zu erlangen. „Es gibt heute keinen guten Grund mehr, das zu tun“, sagt der Informatiker. Dass Awinta offenbar zunächst davon ausging, dass kein Zugriff auf frühere Einkäufe möglich gewesen sei, bezeichnet Herrmann als „ziemlich schlimme Fehleinschätzung“.

Muss die Datenschutzbehörde eingeschaltet werden?

Wer kümmert sich nun um die Aufarbeitung des Falls, und die Benachrichtigung der Kunden? Awinta betont, seine Auftraggeber umgehend rasch über die Zwischenfälle informiert zu haben. Eine Datenschutzbehörde hat das Unternehmen offenbar nicht eingeschaltet. „Die Information der betroffenen Endkunden ist Aufgabe der Shop-Betreiber, die dafür von uns alle gesetzlich notwendigen Informationen erhalten“, erklärt die Firma gegenüber DAZ.online. Ein Sprecher betont, dass im Rahmen der Sicherheitstests nur eine sehr begrenzte Zahl von Zugriffen erfolgt sei. „Es kam zu keinem kriminellen Datenmissbrauch.“

Doch offenbar lassen sich auch bei Shops, die nicht von Awinta gepflegt werden, Probleme finden: Bei den automatisierten Tests über PrivacyScore von mehr als 2000 Apotheken-Seiten im Februar scheiterten hunderte Shops bei kritischen Checks. „Ich befürchte, wir haben nur die Spitze des Eisbergs entdeckt“, sagt Informatiker Herrmann.

Sanicare prüft Strafanzeige - aber gegen wen?

Sanicare habe umgehend den Datenschutzbeauftragten sowie die Landesdatenschutzbehörde informiert, erklärt Heinrich Meyer, leitender Apotheker der Versandapotheke und Vize-Vorsitzender des Bundesverbandes deutscher Versandapotheken (BVDVA). Es gebe keine Versäumnisse auf Seite von Sanicare, und auch jene bei Awinta seien „rein fakultativer Natur – also etwa so, wie wenn ein Apotheker vergisst, seine Tür beim Verlassen des Geschäftes abzusperren“, erklärt Meyer. Er spricht von einer Skandalisierung und bezeichnet das Vorgehen gegenüber DAZ.online als „illegalen Einbruch“, der derzeit von Juristen der Versandapotheke geprüft werde. „Wir gehen davon aus, dass wir entsprechend Strafanzeige stellen werden“, sagt er. Gegen wen genau lässt er noch offen.

Der BVDVA will die Vorwürfe von Herrmann, nach denen noch viel mehr Webshops betroffen sein könnten, nicht zulassen. Der Verband und seine Mitglieder nähmen das Thema außerordentlich ernst, erklärt BVDVA-Vize Meyer auf Nachfrage. Erst auf dem BVDVA-Kongress in der vergangenen Woche habe es hierzu umfangreiche Beratungen gegeben. „Insofern ist es außerordentlich verwunderlich, dass durch den Informatikprofessor unspezifisch und höchst spekulativ eine Bewertung erfolgt“, sagt der Apotheker. Doch Herrmann schreckt dies nicht ab: Er will die Branche im Auge behalten.



Hinnerk Feldwisch-Drentrup, Autor DAZ.online
redaktion@daz.online


Diesen Artikel teilen:


0 Kommentare

Das Kommentieren ist aktuell nicht möglich.