Uni­ver­si­tät Bam­berg: “Unge­schütz­te Kun­den­da­ten in Online-Apotheken”

Symbolbild Bildung

Bam­ber­ger Infor­ma­ti­ker ent­decken Sicherheitslücke

Infor­ma­tik-Wis­sen­schaft­ler der Uni­ver­si­tät Bam­berg haben in Koope­ra­ti­on mit Jour­na­li­sten von NDR und WDR eine Sicher­heits­lücke in den Online­shops von zahl­rei­chen Ver­sand­apo­the­ken auf­ge­deckt. „Unbe­tei­lig­ten wäre es dadurch mög­lich gewe­sen, per­sön­li­che Daten vie­ler Kun­den aus­zu­spä­hen, dar­un­ter ihre Bestell­hi­sto­rie und teil­wei­se sogar Zah­lungs­da­ten“, so Prof. Dr. Domi­nik Herr­mann, Inha­ber des Lehr­stuhls für Pri­vat­sphä­re und Sicher­heit in Infor­ma­ti­ons­sy­ste­men der Uni­ver­si­tät Bam­berg. Sein Lehr­stuhl­team ent­deck­te das Problem.

Betrof­fen waren neben gro­ßen Anbie­tern wie „Apo­tal“ und „Sani­ca­re“ etwa 170 wei­te­re Ver­sand­apo­the­ken. Ihre Online­shops wer­den alle von der Fir­ma „awin­ta GmbH“ in Bie­tig­heim-Bis­sin­gen betrie­ben, einem füh­ren­den Soft­ware­an­bie­ter für Apo­the­ken. „Nach­dem wir uns sicher waren, dass die Lücke aus­ge­nutzt wer­den kann, haben wir awin­ta unver­züg­lich dar­auf hin­ge­wie­sen“, erklärt Domi­nik Herr­mann. Der Anbie­ter habe dar­auf­hin schnell reagiert und die Sicher­heits­lücke auf allen Ser­vern beho­ben. Nach Anga­ben von „awin­ta“ gab es kei­ne Hin­wei­se dar­auf, dass die Lücke zu kri­mi­nel­len Zwecken aus­ge­nutzt wur­de, sodass Nut­zer kei­ne Angst um ihre Daten haben müssen.

Bei der Sicher­heits­lücke han­delt es sich um soge­nann­tes „Ses­si­on-Hijacking“. Dabei ver­schafft sich ein Angrei­fer Zugriff auf die Brow­ser-Sit­zung eines ande­ren Nut­zers, der gera­de in einem Online­shop aktiv ist. Durch den Angriff kann der Online­shop den Brow­ser des Angrei­fers nicht vom Brow­ser des Opfers unter­schei­den. Der Angrei­fer kann sei­nem Opfer gewis­ser­ma­ßen über die Schul­ter schau­en und mit­un­ter auch Zugriff auf alle Daten erlan­gen, die im Kun­den­kon­to hin­ter­legt sind. „Exper­ten­wis­sen braucht man dafür nicht,“ sagt Domi­nik Herr­mann. „Schon in unse­rer Ein­füh­rungs­vor­le­sung zur IT-Sicher­heit set­zen sich unse­re Stu­die­ren­den mit sol­chen Angrif­fen auseinander.“

Inter­net­nut­zer hät­ten laut Domi­nik Herr­mann auf die Sit­zun­gen zugrei­fen kön­nen, weil eini­ge Web­ser­ver von „awin­ta“ nach­läs­sig kon­fi­gu­riert gewe­sen sei­en. Jeder Nut­zer hät­te eine Sta­tus-Sei­te des Web­ser­vers auf­ru­fen kön­nen, die nur für inter­ne Zwecke vor­ge­se­hen war. Wer in der Adress­zei­le den Text „/ser­ver-sta­tus“ an den Domain-Namen der jewei­li­gen Ver­sand­apo­the­ke anhäng­te, sah die­se Sta­tus-Sei­te und konn­te die Sit­zungs­ken­nun­gen (Ses­si­on-IDs) ande­rer Nut­zer unmit­tel­bar aus­le­sen. „Um sen­si­ble Daten eines Kun­den aus­zu­spä­hen, hät­te ein Angrei­fer ledig­lich eine sol­che Ses­si­on-ID in sei­nem eige­nen Brow­ser hin­ter­le­gen müs­sen“, führt Domi­nik Herr­mann wei­ter aus. Dass die­se Vor­ge­hens­wei­se prak­ti­ka­bel war, wies er mit sei­nem Team durch eigens ange­leg­te Test­kon­ten nach. Über­rascht hat Domi­nik Herr­mann der Fund nicht: „Sicher­heits­pro­ble­me durch öffent­lich abruf­ba­re Ser­ver-Sta­tus-Sei­ten gab es in den letz­ten Jah­ren häu­fi­ger. Hof­fent­lich nimmt awin­ta unse­ren Fund zum Anlass, auf allen Syste­men syste­ma­tisch nach Schwach­stel­len zu suchen.“

Ent­deckt wur­de die Sicher­heits­lücke bei Arbei­ten am Online­pro­jekt „Pri​va​cyS​core​.org“, an dem neben Domi­nik Herr­mann und sei­nen Mit­ar­bei­tern auch For­scher der Uni­ver­si­tä­ten Ham­burg und Kas­sel sowie der Tech­ni­schen Uni­ver­si­tät Darm­stadt betei­ligt sind. Unter dem Link pri​va​cys​core​.org/ kön­nen Inter­net­nut­zer und Sei­ten­be­trei­ber selbst über­prü­fen, ob eine Web­sei­te gän­gi­ge Sicher­heits­me­cha­nis­men ein­setzt und wie sie im Ver­gleich mit ande­ren Sei­ten abschneidet.

Wei­te­re Infor­ma­tio­nen über den Lehr­stuhl für Pri­vat­sphä­re und Sicher­heit in Infor­ma­ti­ons­sy­ste­men: www​.uni​-bam​berg​.de/​psi

Schreibe einen Kommentar