Stand: 24.05.2018 05:00 Uhr

Sicherheitslücke bei Online-Apotheken entdeckt

von Anna Mundt, Eva Köhler, Markus Grill, Sofie Donges, Kersten Mügge
Bild vergrößern
Britta D. kauft regelmäßig Medikamente über Online-Shops von Apotheken.

Millionen Kunden kaufen Medikamente online. Britta D. ist eine von ihnen. Sie bestellt regelmäßig Mittel bei einer Versandapotheke. Für sie ist das bequem und günstig. Aber zumindest ihre letzten Einkäufe hätten beobachtet werden können. Das zeigen Recherchen von NDR und WDR. Fremde hätten persönliche Daten von ihr einsehen können - etwa die Kontonummer, ihre Adresse oder auch eine Übersicht der bestellten Medikamente. Als Reporter Britta D. auf die Sicherheitslücke aufmerksam machen, ist sie empört: "Ganz schlimm, unglaublich", findet sie es. "Das hätte ich nie gedacht."

Mehr als 170 Online-Apotheken betroffen

Bild vergrößern
Persönliche Kunden-Daten von mehr als 170 Apotheken in Deutschland waren offenbar nicht ausreichend geschützt.

Entdeckt haben die Lücke IT-Experten der Universität Bamberg. Sie betreiben mit anderen Hochschulen einen Sicherheitsscanner im Internet, der Webseiten überprüft. So haben sie festgestellt, dass offenbar Nutzerdaten von mehr als 170 Apotheken nicht ausreichend geschützt gewesen sind. Von der Lücke waren auch zwei große Anbieter mit zusammen mehreren Millionen Kunden betroffen.

Angriff vergleichsweise einfach

Bild vergrößern
Dominik Herrmann, IT-Experte der Uni Bamberg, spricht von einem "Anfängerfehler".

Bei diesen Online-Shops sei es möglich gewesen, den sogenannten Server-Status abzurufen. Darüber habe man eine Liste aller aktuellen Vorgänge sehen können. In einem weiteren Schritt wäre es möglich gewesen, dem Kunden beim Surfen in dem Shop quasi über die Schulter zu schauen, erklärt Dominik Herrmann von der Universität Bamberg. Ein solcher Angriff sei vergleichsweise einfach. Ein Programm, das die Informationen der Kunden automatisch auslese, könne jeder Informatik-Student erstellen, sagt Herrmann.

Sicherheitslücke ist mittlerweile geschlossen

Alle betroffenen Online-Apotheken verwenden dieselbe Software von der Firma Awinta. Sie ist nach eigenen Angaben der Marktführer für Apothekensoftware. Awinta räumte die Sicherheitslücke ein, betonte aber, es sei nicht zu einem kriminellen Datenmissbrauch gekommen. Mittlerweile sei die Lücke auch geschlossen. Ursache sei eine fehlerhafte Einstellung gewesen.

Schaar: "Hochsensible Daten"

Bild vergrößern
Betroffen seien hochsensible Daten, die besonders geschützt werden müssten, sagt Peter Schaar.

Britta D. sagt, ihre Bestellung - unter anderem Hustenbonbons und Ohropax - sei kein Geheimnis. Doch für den ehemaligen Bundesdatenschutzbeauftragten Peter Schaar ist die Sicherheitslücke ein schwerwiegender Vorfall. Denn aus Bestellungen bei Apotheken könne man auch auf den Gesundheitszustand schließen, sagt Schaar. "Das sind hochsensible Daten, die nach dem Datenschutzrecht besonders schutzbedürftig sind."

Die große Online-Apotheke, bei der Britta D. eingekauft hat, reagierte gefasst. Generell halte er das System für sicher, erklärte ein Vertreter der Firma. Es gebe aber keinen Shop auf der Welt, der nicht geknackt werden könne. Über die mittlerweile behobene Sicherheitslücke will die Apotheke ihre Kunden offen und ehrlich informieren. Britta D. hat jedoch Vertrauen verloren und will in Zukunft lieber wieder in der Apotheke vor Ort einkaufen.

Links

Sicherheitspanne bei Online-Apotheken

Daten von Kunden vieler Online-Apotheken sind nicht ausreichend gesichert gewesen. Mehr zu der Sicherheitslücke bei tagesschau.de. extern

Dieses Thema im Programm:

N-JOY | 24.05.2018 | 06:00 Uhr

Mehr Nachrichten

03:09
Hallo Niedersachsen

Fischerstechen auf dem Jade-Ems-Kanal

18.08.2018 19:30 Uhr
Hallo Niedersachsen
02:35
Schleswig-Holstein Magazin

Bargener Fähre: Über 1.600 Fahrgäste

18.08.2018 19:30 Uhr
Schleswig-Holstein Magazin
02:23
Hamburg Journal

Droht in Hamburg-Altona eine Rattenplage?

18.08.2018 19:30 Uhr
Hamburg Journal