Die Bamberger IT-Experten betreiben mit anderen Hochschulen einen Sicherheitsscanner, der Webseiten prüft. Sie stellten fest, dass offenbar Nutzerdaten von mehr als 170 Apotheken nicht ausreichend geschützt gewesen sind. Von der Lücke waren auch zwei große Anbieter mit zusammen mehreren Millionen Kunden betroffen.
Dem Kunden ganz einfach über die Schulter schauen
Bei diesen Online-Shops sei es möglich gewesen, den sogenannten Server-Status abzurufen. Darüber habe man eine Liste aller aktuellen Vorgänge sehen können. Es wäre es möglich gewesen, dem Kunden beim Surfen in dem Shop quasi über die Schulter zu schauen, erklärt Dominik Herrmann von der Universität Bamberg. Ein solcher Angriff sei einfach. Ein Programm, das die Informationen der Kunden automatisch auslese, könne jeder Informatik-Student schreiben.
Sicherheitslücke ist mittlerweile geschlossen
Alle betroffenen Online-Apotheken verwenden dieselbe Software von der Firma Awinta. Sie ist nach eigenen Angaben Marktführer für Apothekensoftware. Awinta räumte die Sicherheitslücke ein, betonte aber, es sei nicht zu einem kriminellen Datenmissbrauch gekommen. Mittlerweile sei die Lücke auch geschlossen. Ursache sei eine fehlerhafte Einstellung gewesen.
Datenschutzbeauftragter alarmiert
Für den ehemaligen Bundesdatenschutzbeauftragten Peter Schaar ist die Sicherheitslücke ein schwerwiegender Vorfall. Denn aus Bestellungen bei Apotheken könne man auch auf den Gesundheitszustand schließen: "Das sind hochsensible Daten, die nach dem Datenschutzrecht besonders schutzbedürftig sind."