SICHERHEITSLÜCKE BEI ONLINE-APOTHEKEN

„Unbeteiligten wäre es dadurch möglich gewesen, persönliche Daten vieler Kunden auszuspähen, darunter ihre Bestellhistorie und teilweise sogar Zahlungsdaten“, erklärt Prof, Dr. Dominik Hermann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg, das Sicherheitsproblem. Die Lücke, über die Dritte Zugriff auf diese sensiblen Daten gehabt hätten, entdeckte sein Lehrstuhlteam. Nach Sicherstellung der Problematik informierte Hermann den Softwareanbieter der Onlineshops, die awinta GmbH. Die Sicherheitslücken konnten daraufhin sofort geschlossen werden und bislang besteht kein Hinweis darauf, dass diese für kriminelle Zwecke genutzt wurden.

Doch wie kommt eine solche Lücke zustande? Die Sicherheitslücke nennt sich „Session-Hacking“. Das bedeutet, dass sich ein Angreifer Zugriff auf die persönlichen Daten verschaffen kann, wenn der Nutzer gerade in einem der Onlineshops aktiv ist. In diesem Moment kann der Onlineshop Angreifer und Nutzer nicht voneinander unterscheiden und einen Zugriff verwehren. Dieses „über die Schulter schauen“ bedarf nach Angaben Dr. Hermanns kein Fachwissen, bereits Einführungsveranstaltungen zur IT-Sicherheit behandeln das Thema. Sein Team hatte daher keine großen Schwierigkeiten mit Hilfe von Testkonten dem Problem auf die Spur zu kommen. Das Problem: Die Online-Shops greifen auf öffentlich aufrufbare Server-Status-Seiten zurück. Auf diesen Seiten, die nur intern sichtbar sein sollten, können Angreifer einfach die Sitzungskennungen der Nutzer (sogenannte Session-IDs) auslesen und in ihrem eigenen Browser hinterlegen. Derartige Sicherheitslücken sind für Dr. Hermann nicht neu, es kommt nach seinen Angaben häufig zu Problemen bei der Nutzung öffentlich aufrufbarer Server-Status-Seiten.

Farina Haase,                                                                                                                  Apothekerin, Volontärin

Quelle: Idw-online