Online-Apotheke.

Sensible Gesundheitsdaten Sicherheitspanne bei Online-Apotheken

Stand: 24.05.2018 05:00 Uhr

Daten von Kunden vieler Online-Apotheken sind nicht ausreichend gesichert gewesen. Das zeigen Recherchen von NDR und WDR. Unberechtigte hätten demnach Kontodaten oder die bestellten Medikamente einsehen können.

Von Anna Mundt, Eva Köhler, Markus Grill, Sofie Donges, Kersten Mügge

Wer in den vergangenen Wochen bei einer Online-Apotheke wie Sanicare oder Apotal Medikamente bestellt hat, lief Gefahr, dass Fremde diese Bestellungen mitlesen konnten. Das haben nach Recherchen von NDR und WDR Computer-Wissenschaftler der Universität Bamberg herausgefunden.

Dominik Herrmann.
galerie

"Die Automatisierung dieser Angriffe ist vergleichsweise einfach", sagt IT-Experte Dominik Herrmann.

Jeder Internetnutzer konnte, wenn er auf der Seite einer der betroffenen Versandapotheken war, in der Internet-Adresszeile die Wörter "server-status" eingeben und schon öffnete sich auf dem Bildschirm eine Liste aller Vorgänge, die gerade auf dem Server der Online-Apotheken stattfanden. In dieser Liste fanden sich auch so genannte "Session-IDs" von Kunden, mit deren Hilfe Fremde in das Profil eines Kunden hätten eindringen können, der gerade online war.

"Die Automatisierung dieser Angriffe ist vergleichsweise einfach", sagt Dominik Herrmann vom Lehrstuhl Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg, der auf den Fehler gestoßen ist. "Einem absoluten Anfänger kann man die nötigen Schritte beibringen. Studenten der Informatik wären in der Lage, so was zu tun."

Mehr als 170 Online-Apotheken betroffen

Diese Lücke bestand auf manchen Servern bis Dienstagmittag und wurde erst geschlossen, nachdem NDR und WDR die Betreiber der Plattform mit Fragen konfrontiert hatten. Betroffen waren von dem Online-Leck nicht nur die großen Versandapotheken Sanicare und Apotal, sondern nach Angaben der Bamberger Wissenschaftler auch mehr als 170 kleinere Apotheken, die die gleiche Software für ihren Shop eingesetzt haben.

Alle betroffenen Apotheken haben eine Gemeinsamkeit: Sie verwenden für ihr Online-Geschäft Software der Firma Awinta, nach eigenen Angaben Marktführer von Apothekensoftware mit mehr als 7000 Kunden. Awinta räumte die Sicherheitslücke ein und erklärte gegenüber seinen Kunden bereits am Donnerstag vergangener Woche, die Lücke geschlossen zu haben. Außerdem sei "ein Zugriff auf die Kundenhistorie ausgeschlossen" gewesen. Beide Informationen waren falsch, wie Awinta dann am Dienstag dieser Woche, also fünf Tage später, einräumen musste.

Fehler behoben

Schriftlich teilte das Software-Unternehmen mit: "Entgegen anderslautenden internen Informationen war es tatsächlich noch möglich, auf den von ihnen genannten Webshop zuzugreifen. Die von uns bereits erwähnte manuelle Fehlkonfiguration bestand leider noch weiter." Inzwischen habe man allerdings die Ursache erkannt und den Fehler behoben. "Zusätzlich wurden alle Sessions in den Webshops geschlossen und weitere Zugriffe damit verhindert", versichert Awinta.

Bis Dienstag dieser Woche war es möglich, sich bei zahlreichen Online-Apotheken in Deutschland mit einer Session-ID in das Profil eines Nutzers einzuschleichen. Wer dies tut, sieht nicht nur dessen Klarnamen und Adresse, sondern kann auch jene Medikamente sehen, die diese Person in der Vergangenheit bestellt hat. Das fanden die Bamberger Wissenschaftler heraus, in dem sie eigene Test-Accounts bei den Online-Apotheken angelegt hatten.

Schaar: "Schwerwiegender Vorfall"

Peter Schaar.
galerie

Peter Schaar, ehemaliger Bundesdatenschutzbeauftragter, ist von den Sicherheitslücken bei Online-Apotheken alarmiert.

Am Dienstag hatten NDR und WDR entsprechende Unterlagen dem ehemaligen Bundesdatenschutzbeauftragten Peter Schaar gezeigt und um eine Einschätzung gebeten. Schaar hält die Sicherheitslücke für einen "ziemlich schwerwiegenden Vorfall", schließlich könne man aufgrund der Bestellungen auf den Gesundheitszustand der Kunden schließen. "Das sind hochsensible Daten, die nach dem Datenschutzrecht besonders schutzbedürftig sind".

Apotal verwies in einer Stellungnahme auf eine Mitteilung von Awinta, wonach das Problem mittlerweile behoben sei. Generell halte er das System für sicher, erklärte Joachim Dadaniak von Apotal im Interview mit NDR und WDR. Es gebe aber keinen Shop auf der Welt, der nicht geknackt werden könne. Über die mittlerweile behobene Sicherheitslücke will die Apotheke ihre Kunden offen und ehrlich informieren.

Sanicare teilte auf Anfrage mit, dass sie den Datenschutz seit jeher besonders ernst nehme. "Die grundsätzliche Struktur der IT ist jedoch nach dem heutigen Stand der Technik ausdrücklich als sicher und datenschutzrechtlich valide zu bezeichnen." Die konkrete Sicherheitslücke liege "in ausschließlicher Verantwortung des technischen Dienstleiters, der Firma Awinta".

Vergleichsweise wenige Apotheken im Online-Handel

Joachim Dadaniak
galerie

Generell sei das System sicher, sagt Joachim Dadaniak von der Firma Apotal.

Dem widerspricht der ehemalige Bundesdatenschutzbeauftragte Schaar. Nach seiner Ansicht müssten auch Online-Apotheken selbst "sich davon vergewissern, dass derjenige, den sie beauftragen, die notwenigen technischen Maßnahmen zum Schutz der persönlichen Daten trifft." Schaar geht zudem davon aus, dass die betroffenen Online-Apotheken auch ihre Kunden darüber informieren müssen, "dass ihre Daten für einen gewissen Zeitraum eben nicht sicher vor unberechtigtem Zugriff waren."

Von den 20.000 Apotheken in Deutschland haben mehr als 3000 die Erlaubnis, Medikamente auch Online zu versenden. Doch nur rund 150 betreiben nach Einschätzung des Bundesverbands Deutscher Versandapotheken "einen ernstzunehmenden Versandhandel". Viele haben zwar die Lizenz, machen aber kaum Online-Geschäfte.

Über dieses Thema berichtete NDR Info am 24. Mai 2018 um 06:15 Uhr.

Darstellung: