Mein Business
bestens versichert
 
Ralph Günther
“Versicherungsschutz in Echtzeit - weil in IT-Projekten jede Sekunde zählt”
Ralph Günther
Gründer exali.de
 
Software mit Sicherheitslücke sorgt für Daten-Desaster bei Online-Apotheken
 

Angriff auf Kundendaten leicht gemacht

Forscher der Universität Bamberg haben herausgefunden, dass Angreifer über mehrere Wochen hinweg persönliche Kundendaten und sogar Bestelllisten von Online-Apotheken mitlesen hätten können. Der Angriff war dabei vergleichsweise einfach: Die Angreifer mussten lediglich „server-status“ in der Adressleiste des Browsers ergänzen und schon konnten sie eine Liste aller aktuellen Online-Vorgänge auf dem jeweiligen Server abrufen. Das fanden die Experten der Universität durch selbst angelegte Test-Accounts heraus.

Es war sogar möglich, sich in Kunden-Accounts einzuloggen und persönliche Daten sowie Bestellungen mitzulesen, denn die Liste habe Session-IDs enthalten. Damit konnten sich Hacker genauestens über den Gesundheitszustand von Kunden informieren. Und das Ganze so einfach, dass jeder Informatik-Student das machen könnte. Ein Datenschutz-Desaster! Das sieht auch der ehemalige Bundesdatenschutzbeauftragte Peter Schaar so, der den Vorfall als „ziemlich schwerwiegend“ einschätzte.

Sicherheitslücke behoben, oder doch nicht?

Der Schuldige an der Sicherheitslücke ist schnell gefunden: Das Software-Unternehmen Awinta. Awinta ist Marktführer für Apothekensoftware und hat nach eigenen Angaben über 7.000 Kunden, darunter auch Online-Apotheken in Deutschland (Sanicare und Apotal). Ohne die Forschung der Bamberger Wissenschaftler und Recherchen von NDR und WDR wäre die Sicherheitslücke vielleicht noch heute vorhanden. Awinta erklärte zwar, dass sie das Problem noch vor den Informationen von NDR und WDR gefunden und behoben hätten, da irrten sie sich jedoch. Erst nach dem Hinweis der Redaktionen kam die Behebung ins Rollen. Es dauerte weitere fünf Tage, bis die Sicherheitslücke tatsächlich geschlossen wurde. Die Daten waren somit für mehrere Wochen einsehbar.

Wer haftet für den möglichen Datenmissbrauch?

Geht es nach der Online-Apotheke „Sanicare“, dann liegt diese Sicherheitslücke ausschließlich in der Verantwortung des technischen Dienstleisters. Peter Schaar ist allerdings der Meinung, dass sich die Online-Apotheken von der IT-Sicherheit eines Dienstleisters vergewissern und zudem vor allem auch ihre Kunden über den Vorfall informieren müssen. Ein solches Datenschutz-Desaster ist in Zeiten der DSGVO kein Kavaliersdelikt und dürfte wohl die eine oder andere Datenschutzbeschwerde ins Haus flattern lassen. Und auch seitens der Plattform-Betreiber sind Konsequenzen für den Software-Dienstleister zu erwarten.

In solchen Fällen sind hohe Schadenersatzforderungen nicht selten. Denn ein IT-Dienstleister ist dazu verpflichtet, seinem Auftraggeber den Schaden, der durch einen Fehler des ITlers entstanden ist, zu ersetzen. Für IT-Unternehmer oder auch Freelancer könnte ein solcher Fehler den beruflichen und privaten Ruin bedeuten, denn je nach Größe des verursachten Problems kann dieser Schaden in die Hunderttausende oder sogar Millionen gehen.

Schutz durch individuelle Haftpflichtversicherung

Für die Softwarefirma Awinta bleibt zu hoffen, dass sie beim Abschließen ihrer Versicherung genauer war, als bei der Programmierung der Webshop-Seiten. Eine passende Haftpflichtversicherung wie die IT-Haftpflichtversicherung über exali.de sichert IT-Unternehmen und Freelancer umfassend bei Schadenersatzansprüchen Dritter ab. Im Ernstfall klärt der Versicherer auf eigene Kosten, ob die Forderungen begründet sind und übernimmt eine berechtigte Schadenersatzzahlung. Im Online-Tarif sind das immerhin bis zu 2,5 Mio. Euro pro Schadenfall. Individuell können Sie sogar noch höhere Schadensummen absichern. Bei exali.de gibt es kein Callcenter und keine Warteschleifen. Bei Fragen rund um die richtige Absicherung und natürlich auch im Schadenfall ist Ihr persönlicher Ansprechpartner jederzeit für Sie da.

 

Weitere interessante Artikel:

© Sebastian Neumair – exali GmbH
 
0 Leser-Kommentar
 

Schreiben Sie einen Kommentar

Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

 
 
 
 
 
 
  Absenden  
 

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Kommentierung eines Artikel erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.
 
exali.de - Versicherungen für Selbstständige, Freiberufler und Unternehmen
Versicherungen für Selbstständige, Freiberufler und Unternehmen

Das Versicherungsportal exali.de bietet IT-Freiberuflern und Dienstleistern, Medienschaffenden und Consultants exklusive Versicherungslösungen, die Ihre geschäftlichen Risiken kalkulierbar machen.

 IT-Versicherung
Bestens versichert rund um IT- & Telekommunikation

  Consulting-Versicherung
Bestens versichert als Consultant, Manager & Trainer

 Media-Versicherung
Bestens versichert im Kreativ-, Agentur, und Medienbereich

  Anwalts-Versicherung
Bestens versichert als Rechtsanwalt und Sozietät

 eCommerce-Versicherung
Bestens versichert als Webshop und Internetportal

  D&O-Versicherung
Bestens versichert als Angestellter bei persönlicher Haftung

 A&I-Versicherung
Bestens versichert als Architekt oder (Bau-)Ingenieur

 
 

 

 

exali Haftpflicht-Siegel

Zeigen Sie's Ihren Auftraggebern!

  Das exali.de Haftpflicht-Siegel