Ungeschützte Kundendaten in Online-Apotheken: Bamberger Informatiker entdecken Sicherheitslücke

| Informatik-Wissenschaftler der Universität Bamberg haben in Kooperation mit Journalisten von NDR und WDR eine Sicherheitslücke in den Onlineshops von zahlreichen Versandapotheken aufgedeckt. „Unbeteiligten wäre es dadurch möglich gewesen, persönliche Daten vieler Kunden auszuspähen, darunter ihre Bestellhistorie und teilweise sogar Zahlungsdaten“, so Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg. Sein Lehrstuhlteam entdeckte das Problem. Betroffen waren neben großen Anbietern wie „Apotal“ und „Sanicare“ etwa 170 weitere Versandapotheken. |

Ihre Onlineshops werden alle von der Firma „awinta GmbH“ in Bietigheim-Bissingen betrieben, einem führenden Software-Anbieter für Apotheken. t„Nachdem wir uns sicher waren, dass die Lücke ausgenutzt werden kann, haben wir awinta unverzüglich darauf hingewiesen“, erklärt Prof. Dr. Dominik Herrmann. Der Anbieter habe daraufhin schnell reagiert und die Sicherheitslücke auf allen Servern behoben. Nach Angaben von „awinta“ gab es keine Hinweise darauf, dass die Lücke zu kriminellen Zwecken ausgenutzt wurde, sodass Nutzer keine Angst um ihre Daten haben müssen.

Bei der Sicherheitslücke handelt es sich um sogenanntes „Session-Hijacking“. Dabei verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, der gerade in einem Onlineshop aktiv ist. Durch den Angriff kann der Onlineshop den Browser des Angreifers nicht vom Browser des Opfers unterscheiden. Der Angreifer kann seinem Opfer gewissermaßen über die Schulter schauen und mitunter auch Zugriff auf alle Daten erlangen, die im Kundenkonto hinterlegt sind. „Expertenwissen braucht man dafür nicht,“ sagt Dominik Herrmann. „Schon in unserer Einführungsvorlesung zur IT-Sicherheit setzen sich unsere Studierenden mit solchen Angriffen auseinander.“

Internetnutzer hätten laut Prof. Dr. Dominik Herrmann auf die Sitzungen zugreifen können, weil einige Webserver von „awinta“ nachlässig konfiguriert gewesen seien. Entdeckt wurde die Sicherheitslücke bei Arbeiten am Onlineprojekt „PrivacyScore.org“, an dem neben Dominik Herrmann und seinen Mitarbeitern auch Forscher der Universitäten Hamburg und Kassel sowie der Technischen Universität Darmstadt beteiligt sind. Unter dem Link privacyscore.org/ können Internetnutzer und Seitenbetreiber selbst überprüfen, ob eine Webseite gängige Sicherheitsmechanismen einsetzt und wie sie im Vergleich mit anderen Seiten abschneidet.

Quelle

• Universität Bamberg ‒ Pressestelle

Weiterführender Hinweis

• Weitere Informationen über den Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen: www.uni-bamberg.de/psi