Sicherheitslecks bei Versendern

Informatik-Experte belastet Awinta in Datenschutz-Affäre

Karlsruhe - 25.05.2018, 14:30 Uhr

Ein Informatiker der Uni Bamberg belastet den Apothekensoftware-Anbieter Awinta wegen Sicherheitsproblemen in den Webshops von Versandapotheken. (Foto: Imago)

Ein Informatiker der Uni Bamberg belastet den Apothekensoftware-Anbieter Awinta wegen Sicherheitsproblemen in den Webshops von Versandapotheken. (Foto: Imago)


Ein Informatiker von der Uni Bamberg hat eklatante Sicherheitslücken in vielen Online-Shops gefunden, die vom Apotheken-Dienstleister Awinta gepflegt werden. Gegenüber DAZ.online erklärt er, dass die Probleme womöglich schon im Februar bestanden. Laut dem Informatiker dürften sich bei vielen Online-Shops Lücken finden lassen. Die Versandapotheke Sanicare erwägt, in der Sache Strafanzeige zu stellen.

Die Datenschutz-Affäre bei Versandapotheken und dem Software-Anbieter Awinta, über den WDR und NDR am gestrigen Donnerstag berichteten, könnte sich ausweiten. „Kurzzeitige Sicherheitslücke geschlossen“, überschrieb Awinta eine Erklärung dazu vom vergangenen Freitag. Doch offenbar unterschätzte der Dienstleister das Problem: Der Bamberger Informatikprofessor Dominik Herrmann berichtet gegenüber DAZ.online, dass ein anonymer Nutzer auf der von seinem Team betriebenen Plattform privacyscore.org bereits im Februar systematisch hunderte Apotheken-Shops auf Schwachstellen getestet hat. Laut den automatisierten Auswertungen zu Sicherheitslücken lag die problematische Fehlkonfiguration schon damals vor. Zur Erklärung: Mithilfe von PrivacyScore können Internetnutzer Websites hinsichtlich einer Reihe von Sicherheits- und Datenschutzfunktionen untersuchen und bewerten.

Vor gut zwei Wochen fiel dem Informatiker-Team bei diesen Ergebnissen auf, dass es eine Häufung von Apotheken-Webshops gab, bei denen eine eigentlich geheime Seite mit Informationen zum Server-Status öffentlich abrufbar war. Es handelte sich um Webshops, die von Awinta gepflegt wurden. Das Problem bezeichnet Herrmann als „Anfängerfehler“, der im Bachelorstudium schon in Einführungskursen zur IT-Sicherheit thematisiert würde. Er kontaktierte Journalisten, mit denen er ohnehin in Austausch war.

Ab wann waren alle Lecks behoben?

Awinta bemerkte nach einiger Zeit die Aktivitäten der Informatiker auf seinen Systemen und schritt ein. Doch offenbar gab die Firma gegenüber ihren Kunden dann vorschnell Entwarnung. Nach Informationen von DAZ.online wiesen erst die vom WDR und NDR recherchierenden Journalisten das Unternehmen darauf hin, dass die Lücke bei mehreren Versendern weiterhin bestand. „Die von uns bereits erwähnte manuelle Fehlkonfiguration bestand leider noch weiter“, musste Awinta deswegen auch eingestehen.

Gegenüber DAZ.online teilte Awinta mit, dass nur die Webshops von Apotheken betroffen waren, die im Versandhandel tätig sind. Andere Bereiche der Apothekensoftware seien nicht betroffen. Wie viele Webshops von wie vielen Apotheken unsicher waren, dazu will der Software-Dienstleister nicht viel sagen: „Aus Sicherheitsgründen“ will man nicht mitteilen, um wie viele Shops es sich handelte. „Von dieser Panne war nur eine sehr kleine Anzahl an Webshops betroffen“, erklärt die Firma lediglich. Auch das sehen die Bamberger Computerexperten anders: Laut den Analysen der Informatiker wiesen 177 Versandapotheken das inzwischen behobene Sicherheitsproblem auf – darunter Branchengrößen wie Sanicare oder Apotal.

Gegenseitige Kritik – und mehr Probleme

In seiner Mitteilung zum Datenleck kritisierte der Apotheken-Dienstleister das Vorgehen der Informatiker: „Kein Verständnis haben wir dafür, dass die seit mehreren Tagen von der Universität Bamberg entdeckte Lücke in umfassender Weise ausgenützt wurde, ohne uns zu informieren“, erklärt die Firma. Auch an dieser Stelle widersprechen die Informatik-Experten dem Unternehmen. Auf Nachfrage von DAZ.online erklärte Herrmann, dass Awinta zeitnah benachrichtigt worden sei.

Herrmann schätzt die technische Umsetzung der Shops von Awinta auch an anderer Stelle als problematisch ein: So werden Schlüssel, die Zugriff auf gerade benutzte Kundenkonten erlauben, anstatt in Cookies über die Internetadressen an die Server übertragen. Normalerweise geschehe dies zwar verschlüsselt, doch konnte es in dem aktuellen Fall ausgenutzt werden, um unzulässigen Zugang zu erlangen. „Es gibt heute keinen guten Grund mehr, das zu tun“, sagt der Informatiker. Dass Awinta offenbar zunächst davon ausging, dass kein Zugriff auf frühere Einkäufe möglich gewesen sei, bezeichnet Herrmann als „ziemlich schlimme Fehleinschätzung“.

Muss die Datenschutzbehörde eingeschaltet werden?

Wer kümmert sich nun um die Aufarbeitung des Falls, und die Benachrichtigung der Kunden? Awinta betont, seine Auftraggeber umgehend rasch über die Zwischenfälle informiert zu haben. Eine Datenschutzbehörde hat das Unternehmen offenbar nicht eingeschaltet. „Die Information der betroffenen Endkunden ist Aufgabe der Shop-Betreiber, die dafür von uns alle gesetzlich notwendigen Informationen erhalten“, erklärt die Firma gegenüber DAZ.online. Ein Sprecher betont, dass im Rahmen der Sicherheitstests nur eine sehr begrenzte Zahl von Zugriffen erfolgt sei. „Es kam zu keinem kriminellen Datenmissbrauch.“

Doch offenbar lassen sich auch bei Shops, die nicht von Awinta gepflegt werden, Probleme finden: Bei den automatisierten Tests über PrivacyScore von mehr als 2000 Apotheken-Seiten im Februar scheiterten hunderte Shops bei kritischen Checks. „Ich befürchte, wir haben nur die Spitze des Eisbergs entdeckt“, sagt Informatiker Herrmann.

Sanicare prüft Strafanzeige - aber gegen wen?

Sanicare habe umgehend den Datenschutzbeauftragten sowie die Landesdatenschutzbehörde informiert, erklärt Heinrich Meyer, leitender Apotheker der Versandapotheke und Vize-Vorsitzender des Bundesverbandes deutscher Versandapotheken (BVDVA). Es gebe keine Versäumnisse auf Seite von Sanicare, und auch jene bei Awinta seien „rein fakultativer Natur – also etwa so, wie wenn ein Apotheker vergisst, seine Tür beim Verlassen des Geschäftes abzusperren“, erklärt Meyer. Er spricht von einer Skandalisierung und bezeichnet das Vorgehen gegenüber DAZ.online als „illegalen Einbruch“, der derzeit von Juristen der Versandapotheke geprüft werde. „Wir gehen davon aus, dass wir entsprechend Strafanzeige stellen werden“, sagt er. Gegen wen genau lässt er noch offen.

Der BVDVA will die Vorwürfe von Herrmann, nach denen noch viel mehr Webshops betroffen sein könnten, nicht zulassen. Der Verband und seine Mitglieder nähmen das Thema außerordentlich ernst, erklärt BVDVA-Vize Meyer auf Nachfrage. Erst auf dem BVDVA-Kongress in der vergangenen Woche habe es hierzu umfangreiche Beratungen gegeben. „Insofern ist es außerordentlich verwunderlich, dass durch den Informatikprofessor unspezifisch und höchst spekulativ eine Bewertung erfolgt“, sagt der Apotheker. Doch Herrmann schreckt dies nicht ab: Er will die Branche im Auge behalten.



Hinnerk Feldwisch-Drentrup, Autor DAZ.online
redaktion@daz.online


Diesen Artikel teilen:


0 Kommentare

Das Kommentieren ist aktuell nicht möglich.