Datenschutz

Sicherheitslücke bei Versandapotheken behoben

Veröffentlicht:

BAMBERG/BERLIN. Bamberger Informatiker haben eine Sicherheitslücke in Onlineshops von Versandapotheken aufgedeckt. Unbefugte hätten über die inzwischen geschlossene Schwachstelle bei einem Apothekensoftware-Anbieter die letzten Einkäufe sowie andere persönliche Daten von Kunden ausspähen können. Betroffen waren neben großen Anbietern wie Apotal und Sanicare mit mehreren Millionen Kunden etwa 170 weitere Versandapotheken. Ihre Onlineshops werden demnach alle von der Firma awinta GmbH in Bietigheim-Bissingen betrieben. "Nachdem wir uns sicher waren, dass die Lücke ausgenutzt werden kann, haben wir awinta unverzüglich darauf hingewiesen", sagte Professor Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg.

Die Wissenschaftler betreiben mit anderen Hochschulen einen Sicherheitsscanner im Internet, der Webseiten überprüft. So haben sie festgestellt, dass offenbar Nutzerdaten von mehr als 170 Apotheken nicht ausreichend geschützt gewesen seien. Der Software-Anbieter habe daraufhin schnell reagiert und die Sicherheitslücke auf allen Servern behoben.

Die Fehl-Konfiguration der Shop-Software machte die Online-Apotheken für das so genannte "Session-Hijacking" anfällig. Dabei verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, der gerade in einem Onlineshop aktiv ist. Durch den Angriff kann der Onlineshop den Browser des Angreifers nicht vom Browser des Opfers unterscheiden. Der Angreifer kann seinem Opfer gewissermaßen über die Schulter schauen und mitunter auch Zugriff auf alle Daten erlangen, die im Kundenkonto hinterlegt sind. Eigentlich gehört es zu den Standards von Shop-Anbietern, ihre Angebote gegen die häufig auftauchende Sicherheitslücke abzudichten.

Awinta räumte die Sicherheitslücke ein, betonte aber, es sei nicht zu einem kriminellen Datenmissbrauch gekommen. Mittlerweile sei die Lücke auch geschlossen. Ursache sei eine fehlerhafte Einstellung gewesen.

Die KV Telematik GmbH weist in diesem Zusammenhang darauf hin, dass KV-Connect sicher sei. Arzt- und Patientendaten seien gegen solche Angriffe erfolgreich abgeschirmt. KV-Connect sei dreifach geschützt: durch die Verschlüsselung der Nachrichten, die signierte Transportverschlüsselung sowie die Infrastruktur des Sicheren Netzes der KVen (SNK). (dpa/maw)

Schlagworte:
Mehr zum Thema
Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen
Lesetipps
Rechtzeitig eingefädelt: Die dreiseitigen Verhandlungen zwischen Kliniken, Vertragsärzten und Krankenkassen über ambulantisierbare Operationen sind fristgerecht vor April abgeschlossen worden.

© K-H Krauskopf, Wuppertal

Ambulantisierung

90 zusätzliche OPS-Codes für Hybrid-DRG vereinbart

Führen den BVKJ: Tilo Radau (l.), Hauptgeschäftsführer, und Präsident Michael Hubmann im Berliner Büro des Verbands.

© Marco Urban für die Ärzte Zeitung

Doppel-Interview

BVKJ-Spitze Hubmann und Radau: „Erst einmal die Kinder-AU abschaffen!“