Medikamentenversand (Foto: picture-alliance / dpa, SWR)

Interview zur Sicherheitslücke bei Versandapotheken Welche Pillen schluckt der Nachbar?

Wer krank ist und Medizin braucht, will nicht unbedingt, dass andere das im Internet lesen können. Bei großen Versandapotheken war das aber möglich – wegen eines banalen Fehlers.

Bei den großen Versandapotheken Sanicare und Apotal gab es eine Sicherheitslücke in der Bestellsoftware, ebenso bei mehr als 170 kleineren Apotheken, die dieselbe Software nutzen. Das haben Computer-Wissenschaftler Reportern von NDR und WDR bestätigt. Hartmut Pohl, Professor für Informationssicherheit, erklärt, wie schlimm das Ganze war.

Herr Pohl, was war das für eine Sicherheitslücke bei Online-Apotheken?

Das war ein einfacher Konfigurationsfehler. Ein Hinweis auf einen Link auf eine Seite, die eigentlich der Öffentlichkeit gar nicht zur Verfügung stehen darf. Dieser Hinweis ist versehentlich da drin geblieben. Ich würde aber nicht die Apotheken in die Pflicht nehmen und denen irgendeine Schuld zuweisen, sondern die Software-Hersteller anprangern wollen. Die hätten diese Software sicherheitsprüfen müssen, bevor sie an die Apotheken ausgeliefert wird.

Muss man Professor für Informationssicherheit sein, um so eine Sicherheitslücke zu finden oder kann das im Prinzip jeder?

Das ist ein einfacher Konfigurationsfehler, der einfach nicht passieren darf, banal ist und auch leicht zu finden. Wer sicherheitsinteressiert ist, das hat mit Informatik noch gar nichts zu tun, sieht diesen Fehler sofort, wenn er hinschaut. Aber im Normalbetrieb schaut da niemand hin.

Der Hacker, der hinschaut, finder der diesen Fehler?

Der findet das auf Anhieb.

Es gibt eine internationale Norm, die sagt, wie man Software testen muss. Krankendaten, Medikamentennamen, Adressen von den Kunden, Bankkonten – das steht alles da auf dem Server. Ich würde sagen, das muss stark geschützt werden, das bedarf höchster Sicherheit. Man muss also erst einmal festlegen, welche technischen Anforderunge man hier stellen muss. Dann designed man die Software. Dafür gibt es eine Sicherheitsarchitektur - für jeden Software-Entwicklungsschritt, gibt es Methoden, die man einsetzt. Das ist international genormt seit fünf Jahren. Wenn man in die Tiefe geht – und das muss man bei einer derartigen Software, dann brauch man tiefgehende Kenntnisse und auch ein erhebliches Maß an Erfahrung, wo können sich Fehler, Sicherheitslücken verstecken.

Ob eine Online-Apotheke sicher ist oder nicht, kann man das erkennen, wenn man dort bestellt?

Nein, Verbraucher können das nicht. Der normale Bürger kann auch nicht beurteilen, ob sein eigener Rechner sicher ist oder nicht. Da würde ich schon den Softwarehersteller in die Pflicht nehmen. Es gibt endlos viele Shops im Internet, die von den Anbietern sicherheitsgeprüft  sind. Da sind viele Daten von vielen Kunden. Sie können die Leute identifizieren. Sie können nachschauen, ob ihr Nachbar mit dabei ist oder ihre Nachbarin. Das geht gar nicht. Also der Shop muss sicher sein und das ist Stand der Technik. Das wird auch so praktiziert. Diese Situation hier ist völlig unüblich.

Hartmut Pohl (Foto: Hochschule Bonn-Rhein-Sieg)
Hartmut Pohl, Professor für Informationssicherheit Hochschule Bonn-Rhein-Sieg
STAND