Sicherheitslücke sorgt für Daten-Desaster bei Online-Apotheken
Sie haben gerade Potenzpillen, Herpes-Pflaster, Durchfallmittel oder Fußpilzcreme online bestellt? Das sollte natürlich nicht jeder wissen; könnte aber! Denn über 170 Online-Apotheken sind von einer Datenpanne des Softwareanbieters „Awinta“ betroffen. Dank eines Fehlers waren die Bestelllisten tausender Kunden kinderleicht im Web zu finden.
Angriff auf Kundendaten leicht gemacht
Forscher der Universität Bamberg haben herausgefunden, dass Angreifer über mehrere Wochen hinweg persönliche Kundendaten und sogar Bestelllisten von Online-Apotheken mitlesen hätten können. Der Angriff war dabei vergleichsweise einfach: Die Angreifer mussten lediglich „server-status“ in der Adressleiste des Browsers ergänzen und schon konnten sie eine Liste aller aktuellen Online-Vorgänge auf dem jeweiligen Server abrufen. Das fanden die Experten der Universität durch selbst angelegte Test-Accounts heraus.
Es war sogar möglich, sich in Kunden-Accounts einzuloggen und persönliche Daten sowie Bestellungen mitzulesen, denn die Liste habe Session-IDs enthalten. Damit konnten sich Hacker genauestens über den Gesundheitszustand von Kunden informieren. Und das Ganze so einfach, dass jeder Informatik-Student das machen könnte. Ein Datenschutz-Desaster! Das sieht auch der ehemalige Bundesdatenschutzbeauftragte Peter Schaar so, der den Vorfall als „ziemlich schwerwiegend“ einschätzte.
Sicherheitslücke behoben, oder doch nicht?
Der Schuldige an der Sicherheitslücke ist schnell gefunden: Das Software-Unternehmen Awinta. Awinta ist Marktführer für Apothekensoftware und hat nach eigenen Angaben über 7.000 Kunden, darunter auch Online-Apotheken in Deutschland (Sanicare und Apotal). Ohne die Forschung der Bamberger Wissenschaftler und Recherchen von NDR und WDR wäre die Sicherheitslücke vielleicht noch heute vorhanden. Awinta erklärte zwar, dass sie das Problem noch vor den Informationen von NDR und WDR gefunden und behoben hätten, da irrten sie sich jedoch. Erst nach dem Hinweis der Redaktionen kam die Behebung ins Rollen. Es dauerte weitere fünf Tage, bis die Sicherheitslücke tatsächlich geschlossen wurde. Die Daten waren somit für mehrere Wochen einsehbar.
Wer haftet für den möglichen Datenmissbrauch?
Geht es nach der Online-Apotheke „Sanicare“, dann liegt diese Sicherheitslücke ausschließlich in der Verantwortung des technischen Dienstleisters. Peter Schaar ist allerdings der Meinung, dass sich die Online-Apotheken von der IT-Sicherheit eines Dienstleisters vergewissern und zudem vor allem auch ihre Kunden über den Vorfall informieren müssen. Ein solches Datenschutz-Desaster ist in Zeiten der DSGVO kein Kavaliersdelikt und dürfte wohl die eine oder andere Datenschutzbeschwerde ins Haus flattern lassen. Und auch seitens der Plattform-Betreiber sind Konsequenzen für den Software-Dienstleister zu erwarten.
In solchen Fällen sind hohe Schadenersatzforderungen nicht selten. Denn ein IT-Dienstleister ist dazu verpflichtet, seinem Auftraggeber den Schaden, der durch einen Fehler des ITlers entstanden ist, zu ersetzen. Für IT-Unternehmer oder auch Freelancer könnte ein solcher Fehler den beruflichen und privaten Ruin bedeuten, denn je nach Größe des verursachten Problems kann dieser Schaden in die Hunderttausende oder sogar Millionen gehen.
Schutz durch individuelle Haftpflichtversicherung
Für die Softwarefirma Awinta bleibt zu hoffen, dass sie beim Abschließen ihrer Versicherung genauer war, als bei der Programmierung der Webshop-Seiten. Eine passende Haftpflichtversicherung wie die IT-Haftpflichtversicherung über exali.de sichert IT-Unternehmen und Freelancer umfassend bei Schadenersatzansprüchen Dritter ab. Im Ernstfall klärt der Versicherer auf eigene Kosten, ob die Forderungen begründet sind und übernimmt eine berechtigte Schadenersatzzahlung. Im Online-Tarif sind das immerhin bis zu 2,5 Mio. Euro pro Schadenfall. Individuell können Sie sogar noch höhere Schadensummen absichern. Bei exali.de gibt es kein Callcenter und keine Warteschleifen. Bei Fragen rund um die richtige Absicherung und natürlich auch im Schadenfall ist Ihr persönlicher Ansprechpartner jederzeit für Sie da.
Weitere interessante Artikel:
© Sebastian Neumair – exali AG