170 Versandapotheken betroffen Auch bei Apotal und Sanicare gab es Sicherheitslücke

Meine Nachrichten

Um das Thema Hilter Ihren Nachrichten hinzuzufügen, müssen Sie sich anmelden oder registrieren.


Hilter/Bad Laer. Acht Tage lang klaffte eine Sicherheitslücke in den Webshops von über 170 deutschen Versandapotheken. Betroffen waren auch die örtlichen Platzhirsche Apotal und Sanicare. So konnten Forscher der Universität Bamberg einzelnen Kunden von Apotal ihre Bestellungen zuordnen.

Vom 8. bis mindestens zum 16. Mai hätten Fremde persönliche Daten wie die Kontonummer, die Adresse oder eben die bestellten Medikamente einsehen können. Entdeckt wurde das Leck von IT-Spezialisten der Universität Bamberg. Demnach waren die Nutzerdaten von 170 Apotheken nicht genügend geschützt. Das Ausspähen der Daten sei für jeden Informatik-Studenten möglich gewesen, so die Experten der Uni, die für ihre Recherche Test-Konten angelegt hatten. Es habe gereicht, die Wörter „server-status“ in die Adresszeile einzugeben. Öffentlich wurde das Leck durch Berichte von WDR und NDR.

Ein Drittel nutzt die Software

Alle betroffenen Apotheken-Shops nutzen die Software der Firma Awinta, so wie insgesamt ein Drittel der deutschen Apotheken, sagt Heinrich Meyer von der Versandapotheke Sanicare und stellvertretender Vorsitzender des Bundesverbands Deutscher Versandapotheken (BVDVA). Das Krisenmanagement von Awinta war nicht optimal: Zwar räumte der Marktführer seinen Fehler ein, er erklärte gegenüber seinen Kunden allerdings am Donnerstag vergangener Woche, das Leck geschlossen zu haben. Am Dienstag musste er einräumen, dass das falsch war. Inzwischen ist die Panne aber behoben.

Der ehemalige Datenschutzbeauftragte Peter Schaar spricht von einem „ziemlich schwerwiegenden Vorfall“ mit „hochsensiblen Daten“. Schließlich könne von den bestellten Medikamenten auf den Gesundheitszustand des Bestellers geschlossen werden. Schaar kritisierte, dass die Internet-Apotheken sich nicht selbst vergewissert hätten, dass die persönlichen Kundendaten ausreichend gesichert waren.

Von der Information überrascht

Die Hilteraner Versandapotheke Apotal hat ihre 50.000 betroffenen Kunden am 23. Mai per Mail informiert und ihnen geraten, die Passwörter ihrer Kundenkonten vorsichtshalber zu ändern. Marketing-Chef Joachim Dadaniak hatte am 17. Mai am Rande des Jahreskongresses der Versandapotheken in Berlin von der Datenlücke erfahren. Ein Awinta-Mitarbeiter neben ihm sei ebenfalls von der Information überrascht worden. „Da haben wir erst mal sehr betreten geschaut: Es ist natürlich skandalös, dass es diese Lücke gab. Ich bin nur froh, dass lediglich die Universität Bamberg und keine Kriminellen auf die Kundendaten zugegriffen haben.“

Fragwürdig findet Dadaniak, dass die Universität acht Tage damit gewartet habe, Awinta über die Sicherheitslücke seiner Software zu informieren. Ob Apotal gegen Awinta vorgehen will, sei noch nicht geklärt.

Bestellte Medikamente aufgezählt

Auf der Kundenseite sei es aktuell noch relativ ruhig. Allerdings habe ihn ein Kunde angerufen und berichtet, dass ihm ein Mitarbeiter des NDR seine Bestellungen aufgezählt hätte.

Sanicare hatte nach Angaben von Meyer mehr Glück: „Weil wir nicht alle Funktionen von Awinta nutzen, waren Anmeldedaten und Kennwörter bei uns nicht einsehbar.“ Daher müsse die Bad Laerer Versandapotheke ihre Kunden auch nicht persönlich informieren.

In Abstimmung mit dem externen Datenschutzbeauftragten von Sanicare habe das Unternehmen die Niedersächsische Datenschutzbehörde über das zeitweilige Leck und den Umgang damit informiert. Es sei nach Angaben von Awinta gesichert, dass lediglich die Universitäts-Forscher und das Recherchenetzwerk von NDR und WDR auf die Daten zugegriffen hätten. „Es gab demnach keine Ausnutzung für kriminelle Zwecke“, betont Heinrich Meyer.

Sanicare will Anzeige erstatten

Er sei aber „sehr befremdet“ über den Umgang der Universität Bamberg mit der Sicherheitslücke. Nicht Awinta sei zuerst informiert worden, sondern das Recherchenetzwerk. „Wir haben erst durch eine Anfrage des Recherchenetzwerks von dem Problem erfahren.“ Dieses Vorgehen der Uni hält Sanicare für strafrechtlich relevant: „Wir werden Anzeige erstatten.“ Gegen wen, werde nach Einsicht in die Awinta-Protokolle entschieden.

Im Übrigen stehe auch die Zusammenarbeit mit Awinta auf dem Prüfstand. Auch wenn er keinen Zweifel an der Leistungsfähigkeit des Softwareanbieters habe: „Man muss den Sachverhalt detailliert analysieren.“


Weitere Angebote, Produkte und Unternehmen der noz MEDIEN