![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ein kleiner Fehler bei der Konfiguration eines Webauftritts des Apothekendienstleisters Pharma Networx f\u00fchrte dazu, dass die f\u00fcr Kunden (Apotheken) ausgestellten PDF-Rechnungen durch Suchmachinen wie Bing und Google indiziert wurden. Der Anbieter hat es schnell gemerkt, die Schwachstelle geschlossen und den Vorfall gemeldet. Aber die Rechnungen sind noch als Suchergebnisse (nicht aber als PDF) abrufbar.<\/p>\n
<\/p>\n
Pharma Networx ist ein kleinere Dienstleister, der Apotheken und andere Firmen mit Software und Systemen beliefert. Dazu werden den Kunden auch Rechnungen im PDF-Format in einem Web-System bereitgestellt. Der Zugriff ist normalerweise gesch\u00fctzt.<\/p>\n
Zum 27. November 2024 meldet sich ein, laut eigener Aussage \"begeisterter Leser des Blogs\", der mich per Mail auf eine besorgniserregende Entdeckung aufmerksam machen wollte. Der Leser war bei einer\u00a0Recherche zu IT-Dienstleistern f\u00fcr Apotheken in Deutschland, die u.a. Notdienst-Services anbieten, auf die Webseite pharma-networx.de gesto\u00dfen. Ist nat\u00fcrlich erst einmal nichts ungew\u00f6hnliches.<\/p>\n
Alarmiert war der Leser, dass er bei\u00a0Google in den Suchergebnissen Rechnungen mit personenbezogenen Daten dieser Firma stie\u00df und diese Rechnungen als erste Treffer angezeigt wurden.\u00a0Zun\u00e4chst waren nur Rechnungen aus dem Jahr 2010 sichtbar, schrieb der Leser.<\/p>\n
Als er jedoch die URL pharma-networks . de\/rechnungen bei Google eingab, stie\u00df er auf aktuelle Rechnungen, die Google detailliert auflistet. Durch Hinzuf\u00fcgen von St\u00e4dtenamen in der Suche (pharma-networx . de\/ rechnungen +[St\u00e4dename])konnte er sogar Rechnungen aus dem Jahr 2024 mit Apothekenanschriften der jeweiligen St\u00e4dte auffinden.<\/p>\n
![\"Rechnungen](\"https:\/\/i.postimg.cc\/KjBQpVsY\/image.png\")
<\/p>\n
Hintergrund war, dass der\u00a0Webserver des Betreiber nicht abgesichert war, so dass die im Ordner\u00a0Rechnungen <\/em>des Drupal-Auftritts abgelegten PDF-Rechnungen f\u00fcr Kunden durch Suchmaschinen wie Bing oder Google indexiert wurden. Obiger Screenshot zeigt eine solche Suche, die Rechnungseintr\u00e4ge liefert.<\/p>\n Nach Einsch\u00e4tzung des Blog-Lesers nach handelt es sich hierbei um einen eindeutigen Versto\u00df gegen die DSGVO, der dem LDI NRW gemeldet werden sollte, was er mir auch so schrieb. Seiner Ansicht nach bestehe die Gefahr, dass noch weitere sensible Rechnungsdaten \u00f6ffentlich zug\u00e4nglich sind.<\/p>\n Ich hatte dem Leser zugesagt, mich um diesen Fall zu k\u00fcmmern, habe die Angelegenheit aber einige Tage beiseite legen m\u00fcssen. Als ich mich nach einigen Tagen daran setzte, das Ganze zu verifizieren, war der Rechnungen-Ordner auf dem Server bereits f\u00fcr Fremdzugriffe abgesichert.<\/p>\n Ich konnte zwar noch Rechnungen im Suchindex von Bing und Google finden. Beim Zugriff auf die Links, die dann zum pharma-networkx[.]de Rechnungsordner f\u00fchrten, erschien dann obige Fehlermeldung.<\/p>\n Ich habe dann noch vorsorglich die Presseabteilung der Landesdatenschutzbeauftragten von Nordrhein-Westfalen kontaktiert, um nachzufragen, ob der Fall bekannt sei und eine Meldung des Unternehmens vorliege. Zum 10. Dezember gab es von der Pressestelle eine R\u00fcckmeldung.<\/p>\n Der von Ihnen geschilderte Fall wurde uns am 27.11.2024 gemeldet. Pharma-Networx \u00a0wurde daraufhin von uns kontaktiert und hat den Zugang zu dem Verzeichnis unmittelbar noch am selben Tag erfolgreich gesperrt. Betroffen waren nur personenbezogenen Daten, die im Rahmen der Gesch\u00e4ftsbeziehung zwischen Unternehmen und Apothekenbetreibern verarbeitet wurden, insbesondere hinsichtlich der technischer Dienstleistung und deren Kosten. Medizinische Daten von Apothekenkunden sind nach unserer Kenntnis und nach Angaben des Unternehmens explizit nicht betroffen.<\/p>\n Da der Vorfall damit nur ein geringes Risiko f\u00fcr die Rechte und Freiheiten betroffener Personen darstellt, hat das Unternehmen diese Verletzung des Schutzes personenbezogener Daten gem\u00e4\u00df Art. 33 Abs. 5 DS-GVO intern dokumentiert und die Dokumentation auf unsere Anfrage hin zur Verf\u00fcgung gestellt. Ein Antrag auf L\u00f6schung der zwischengespeicherten Daten aus den noch zug\u00e4nglichen Suchergebnissen wurde von Pharma-Networx bereits gestellt.<\/p><\/blockquote>\n Hier hat das Unternehmen offenbar etwas bemerkt und sofort gehandelt. Die Lesermail stammt vom 27. November 2024, die Meldung von Pharma-Networx ist vom gleichen Tag. Die haben wohl den Fehler des nicht abgesicherten Verzeichnisses bemerkt, dieses gesichert und den Vorfall der zust\u00e4ndigen Landesdatenschutzbeh\u00f6rde gemeldet. Das ist musterg\u00fcltig gelaufen. Da die Rechnungen mutma\u00dflich auch nur \u00fcber Dienstleistungen f\u00fcr Apotheken-Notdienstsystem und \u00e4hnliches lauteten und an Firmen gingen, die die DSGVO-Relevanz auch niederschwellig – wie auch die Landesdatenschutzbeauftragte feststellt.<\/p>\n Der Vorfall zeigt aber, auf welch schmalem Grat sich die allgegenw\u00e4rtige Digitalisierung mit dem \"alles muss im Internet stehen\" bewegt. Ich habe riesen Respekt davor, dass mir beispielsweise beim Neuaufsetzen eines Blogs solche Fehler passieren und der \u00f6ffentliche Zugriff auf ein Verzeichnis erm\u00f6glicht wird.<\/p>\n","protected":false},"excerpt":{"rendered":" Ein kleiner Fehler bei der Konfiguration eines Webauftritts des Apothekendienstleisters Pharma Networx f\u00fchrte dazu, dass die f\u00fcr Kunden (Apotheken) ausgestellten PDF-Rechnungen durch Suchmachinen wie Bing und Google indiziert wurden. Der Anbieter hat es schnell gemerkt, die Schwachstelle geschlossen und den … Weiterlesen Der Anbieter reagiert und meldet auch<\/h2>\n
![\"Fehlermeldung](\"https:\/\/i.postimg.cc\/KvVB3Q9q\/image.png\")
<\/p>\nR\u00fcckmeldung des Landesdatenschutzbeauftragten<\/h2>\n