Vermischtes

Sicherheitslücke bei Onlineapotheken entdeckt

  • Donnerstag, 24. Mai 2018
/18percentgrey, stockadobecom
/18percentgrey, stockadobecom

Bamberg – Informatik-Wissenschaftler der Universität Bamberg haben eine Sicherheitslücke in den Onlineshops zahlreicher Versandapotheken aufgedeckt. Über die inzwischen geschlossene Schwachstelle bei einem Anbieter von Software für Apotheken hätten Unbefugte die letzten Einkäufe sowie andere persönliche Daten von Kunden ausspähen können. Über die Lücke hatten NDR und WDR zuerst berichtet.

Betroffen waren neben großen Anbietern wie „Apotal“ und „Sanicare“ mit mehreren Millionen Kunden etwa 170 weitere Versandapotheken. Ihre Onlineshops werden demnach alle von der Firma awinta in Bietigheim-Bissingen betrieben. „Nachdem wir uns sicher waren, dass die Lücke ausgenutzt werden kann, haben wir awinta unverzüglich darauf hingewiesen“, sagte Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg.

Die Wissenschaftler betreiben mit anderen Hochschulen einen Sicherheitsscanner im Internet, der Webseiten überprüft. So haben sie festgestellt, dass offenbar Nutzerdaten von mehr als 170 Apotheken nicht ausreichend geschützt gewesen seien. Der Softwareanbieter habe daraufhin schnell reagiert und die Sicherheitslücke auf allen Servern behoben.

Die Fehlkonfiguration der Shopsoftware machte die Onlineapotheken für das sogenannte „Session-Hijacking“ anfällig. Dabei verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, der gerade in einem Onlineshop aktiv ist.

Durch den Angriff kann der Onlineshop den Browser des Angreifers nicht vom Browser des Opfers unterscheiden. Der Angreifer kann seinem Opfer gewissermaßen über die Schulter schauen und mitunter auch Zugriff auf alle Daten erlangen, die im Kundenkonto hinterlegt sind. Eigentlich gehört es zu den Standards von Shop­anbietern, ihre Angebote gegen die häufig auftauchende Sicherheitslücke abzudichten.

Awinta räumte gegenüber dem NDR die Sicherheitslücke ein, betonte aber, es sei nicht zu einem kriminellen Datenmissbrauch gekommen. Mittlerweile sei die Lücke auch geschlossen. Ursache sei eine fehlerhafte Einstellung gewesen.

dpa

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung