![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Diese Woche wurden zwei weitere (potentielle) Datenlecks, bedingt durch Schwachstellen, im Umfeld der COVID-19-Impfportale und der von den Gesundheits\u00e4mtern verwendeten SORMAS-Software bekannt. Daher ziehe ich einige Informationen zu diesen Vorf\u00e4llen in einem Sammelbeitrag zusammen. Beide F\u00e4lle gingen glimpflich ab, da White Hat-Hacker die Schwachstellen entdeckten und meldeten. <\/p>\n
<\/p>\n
Deutsche Gesundheits\u00e4mter setzen bei der Kontaktverfolgung und Quarant\u00e4neverh\u00e4ngung von Corona-Infizierten zunehmend auf die Open-Source-Software SORMAS. Das System ist weltweit zum Management von Epidemien im Einsatz. Das K\u00fcrzel SORMAS steht f\u00fcr: Surveillance, Outbreak Response Management and Analysis System. <\/p>\n
Das federf\u00fchrend vom Helmholtz-Zentrum f\u00fcr Infektionsforschung (HZI) entwickelte System dient der Verwaltung von Kontaktpersonen und zur Nachverfolgung von Infektionsketten. \u201eDas Managementsystem ist seit 2016 ein Open-Source-Projekt, der Quellcode auf GitHub verf\u00fcgbar\", erkl\u00e4rt c't-Redakteur Hartmut Gieselmann. \u201eDadurch kann das System weltweit sehr einfach und unb\u00fcrokratisch eingesetzt werden.\"<\/p>\n
Bis Mitte M\u00e4rz wurden bei jeder Installation von SORMAS zu Demozwecken ungesicherte Standard-Accounts angelegt, auch f\u00fcr den Administrator. Die zugeh\u00f6rigen Passw\u00f6rter standen festverdrahtet im Quellcode. Wer diesen studierte, konnte sich mit diesen Zug\u00e4ngen von au\u00dfen \u00fcber das Internet in die Systeme einklinken und nach Belieben Personendaten auslesen, ver\u00e4ndern oder l\u00f6schen.<\/p>\n
\u00dcber eine Auswertung der von SORMAS genutzten digitalen Zertifikate und \u00fcber einschl\u00e4gige Suchmaschinen entdeckte c't Anfang Februar eine Vielzahl potenziell anf\u00e4lliger SORMAS-Installationen im Internet \u2013 von Indien bis Afrika und von Australien bis Europa. \u201eDa unsichere Standardeinstellungen erfahrungsgem\u00e4\u00df h\u00e4ufig nicht angepasst werden, ist die Gefahr gro\u00df, dass sich darunter auch zahlreiche Installationen mit Default-Logins und Standardpassw\u00f6rtern befinden\", gibt Security-Experte und c't-Autor Dr. Andreas Kurtz zu bedenken, der die Schwachstelle analysierte. Die Redaktion hat diesen Artikel<\/a> dazu ver\u00f6ffentlicht und zeigt in der c't zeigen in Ausgabe 12\/21<\/a>, dass sich Angreifer bis vor Kurzem einfach von au\u00dfen in SORMAS h\u00e4tten einklinken und Daten manipulieren k\u00f6nnen. <\/p>\n Die HZI-Entwickler reagierten auf die Hinweise von c't und \u00e4nderten die SORMAS-Konfiguration so ab, dass bei k\u00fcnftigen Neuinstallationen keine Default-Logins mehr angelegt werden. c't kontaktierte dar\u00fcber hinaus eine Forschungsgruppe der Hochschule Heilbronn, die sich mit Cybersicherheit an Schnittstellen zu medizinischen Anwendungen besch\u00e4ftigt. Die Forscher um Prof. Dr.-Ing. Andreas Mayer erkannten das Problem und lieferten dem HZI kurzfristig Programmiercode. Durch die Umprogrammierung werden SORMAS-Nutzer und -Betreiber bei verwendeten Default-Logins oder Standardpassw\u00f6rtern gewarnt und zum Passwortwechsel gezwungen. <\/p>\n Wie die Kooperation der Heilbronner Forschungsgruppe mit dem HZI zeigt, ist das SORMAS-Team gegen\u00fcber externen Beitr\u00e4gen aufgeschlossen und nimmt sie dankbar an. \u201eWer dem Team auf GitHub unter die Arme greifen und zur erfolgreichen Pandemiebek\u00e4mpfung beitragen m\u00f6chte, rennt offene T\u00fcren ein\", betont Kurtz. Betreiber von SORMAS sollten in jedem Fall darauf achten, dass sie alle Standardpassw\u00f6rter ge\u00e4ndert haben und stets die neuste SORMAS-Version (aktuell 1.59) einsetzen, um m\u00f6gliche Sicherheitsl\u00f6cher zu schlie\u00dfen, bevor Angreifer sie ausnutzen. <\/p>\n Beim nieders\u00e4chsischem Impfportal gab es eine Schwachstelle, \u00fcber die Unbefugte die pers\u00f6nlichen Daten von Impfwilligen abrufen konnten. Ein White Hat-Hacker hat das Datenleck entdeckt und dann an das Computer-Notfallteam Niedersachsen-CERT und das Gesundheitsministerium gemeldet. In einer Meldung des Ministeriums<\/a> hei\u00dft es, dass die Schwachstelle sofort geschlossen wurde.<\/p>\n Anonymer Hinweis f\u00fchrte zu sofortiger Schlie\u00dfung von Sicherheitsl\u00fccke im Impfportal<\/p>\n Dank des anonymen Hinweises eines sogenannten \u201efriendly hackers\" (freundlicher Hacker) an das Computer-Notfallteam Niedersachsen-CERT und das Gesundheitsministerium konnte eine Sicherheitsl\u00fccke im Impfportal unter www.impfportal-niedersachsen.de<\/a> behoben werden, bevor sie von weiteren Personen ausgenutzt werden konnte. <\/p>\n Freundliche Hacker, auch \u201ewhitehats\" genannt, suchen Sicherheitsl\u00fccken in Computersystemen und weisen die Betreiberinnen und Betreiber darauf hin, damit sie fr\u00fchzeitig geschlossen werden k\u00f6nnen. <\/p>\n Am 7. Mai 2021 erhielten das Gesundheitsministerium und das Niedersachsen-CERT eine E-Mail der Hinweisgeberin oder des Hinweisgebers unter dem Namen \u201eImpfportal Whitehat\". Darin schilderte der Hacker, dass es ihm gelungen sei, \u00fcber das Impfportal Zugriff auf Namen und Adressen von registrierten impfwilligen Personen zu erhalten. Weiter hie\u00df es in der Mail: <\/p>\n \u201eEins vorweg: Ich habe nur gute Absichten und m\u00f6chte dazu beitragen, dass die L\u00fccke schnell geschlossen wird, bevor andere diese ebenfalls entdecken. <\/p>\n Ich versichere ihnen hiermit, dass meine bisherigen Abrufe rein zum Aufsp\u00fcren dieser Sicherheitsl\u00fccke dienten und ich KEINERLEI Daten hieraus gespeichert habe.\" <\/p>\n Das Gesundheitsministerium informierte daraufhin unverz\u00fcglich den f\u00fcr die Programmierung der Webseite verantwortlichen Dienstleister Majorel, der die geschilderte Sicherheitsl\u00fccke nachvollziehen und noch am Abend des 7. Mai schlie\u00dfen konnte. <\/p>\n Majorel hat nach eingehender Untersuchung des Vorgangs festgestellt, dass <\/p>\n Im entsprechenden Bericht von Majorel hei\u00dft es weiter: <\/p>\n Zusammenfassend kann die Schwachstelle so beschrieben werden, dass f\u00fcr den Betrieb der Impfzentren nach Datens\u00e4tzen von Impfwilligen gesucht werden kann. Diese Schnittstelle liefert basierend auf Parametern wie z.B. dem Nachnamen bis zu 500 Suchergebnisse zur\u00fcck. <\/p>\n Der Informant der diese Schwachstelle entdeckt hat, muss diese Funktion, welche nur aus dem gesch\u00fctzten VPN-Bereich, nach Anmeldung via Benutzername und Passwort zug\u00e4nglich ist, aufgegriffen und auf dem B\u00fcrgerportal angewendet haben. Hierzu hat er sich auf dem B\u00fcrgerportal angemeldet und per SMS authentifiziert. Dieser Authentifizierungstoken ist f\u00fcr 120 Sekunden g\u00fcltig und konnte ungeplant f\u00fcr die Abfrage der Schnittstelle in diesen zwei Minuten genutzt werden. <\/p>\n Eine Analyse der Logfiles ergab insgesamt 50 Zugriffe und Zugriffsversuche am Donnerstag, 6.5.2021 und Freitag, 7.5.2021. Es konnten keine Zugriffe vor dem 6.5.2021 festgestellt werden. Weitere Zugriffsversuche werden engmaschig \u00fcberwacht. <\/p>\n Gesundheitsstaatssekret\u00e4r Heiger Scholz erkl\u00e4rt zu dem Vorgang: \u201eDank der Warnung des friendly Hackers konnte eine bedauerliche Sicherheitsl\u00fccke im Impfportal geschlossen werden, bevor sie von weiteren Personen ausgenutzt werden konnte. F\u00fcr diese Warnung sind wir sehr dankbar. Nichtsdestotrotz handelt es sich hierbei um einen Versto\u00df gegen den Datenschutz. Wir gehen davon aus, dass die Daten vom friendly Hacker nicht gespeichert wurden und den Betroffenen kein Schaden entstanden ist. Dennoch werden wir sie in den n\u00e4chsten Tagen per Brief \u00fcber diesen Vorgang informieren, um maximale Transparenz f\u00fcr alle Beteiligten herzustellen.\" <\/p>\n Das Gesundheitsministerium hat auch die Landesdatenschutzbeauftrage \u00fcber die vorliegende Datenschutzverletzung nach Artikel 33 DS-GVO informiert.<\/p>\n<\/blockquote>\n Ich bin \u00fcber diesen Artikel<\/a> der Kollegen von heise auf diesen Sachverhalt aufmerksam geworden. Mit der Sicherheit hapert es an allen Ecken und Enden. <\/p>\n","protected":false},"excerpt":{"rendered":" Diese Woche wurden zwei weitere (potentielle) Datenlecks, bedingt durch Schwachstellen, im Umfeld der COVID-19-Impfportale und der von den Gesundheits\u00e4mtern verwendeten SORMAS-Software bekannt. Daher ziehe ich einige Informationen zu diesen Vorf\u00e4llen in einem Sammelbeitrag zusammen. Beide F\u00e4lle gingen glimpflich ab, da … Weiterlesen Datenleck bei nieders\u00e4chsischem Impfportal<\/h2>\n<\/p>\n
\n
\n