Niedersächsisches Impfportal gehackt - Sicherheitslücke wurde geschlossen

Einem sogenannten "freundlichen Hacker" ist es gelungen, Zugriff auf Namen und Adressen von registrierten impfwilligen Personen zu erhalten.

Symbolbild
Symbolbild | Foto: Pixabay

Niedersachsen. Dank des anonymen Hinweises eines sogenannten „friendly hackers" an das Computer-Notfallteam Niedersachsen-CERT und das Gesundheitsministerium konnte eine Sicherheitslücke im Impfportal unter www.impfportal-niedersachsen.de behoben werden, bevor sie von weiteren Personen ausgenutzt werden konnte. Das teilt das Niedersächsische Ministerium für Soziales, Gesundheit und Gleichstellung in einer Pressemitteilung mit.


Freundliche Hacker, auch „whitehats" genannt, suchen Sicherheitslücken in Computersystemen und weisen die Betreiberinnen und Betreiber darauf hin, damit sie frühzeitig geschlossen werden können. Am 7. Mai erhielten das Gesundheitsministerium und das Niedersachsen-CERT eine E-Mail der Hinweisgeberin oder des Hinweisgebers unter dem Namen „Impfportal Whitehat". Darin schilderte der Hacker, dass es ihm gelungen sei, über das Impfportal Zugriff auf Namen und Adressen von registrierten impfwilligen Personen zu erhalten. Weiter hieß es in der Mail: „Eins vorweg: Ich habe nur gute Absichten und möchte dazu beitragen, dass die Lücke schnell geschlossen wird, bevor andere diese ebenfalls entdecken. Ich versichere ihnen hiermit, dass meine bisherigen Abrufe rein zum Aufspüren dieser Sicherheitslücke dienten und ich KEINERLEI Daten hieraus gespeichert habe."

Hier lag die Schwachstelle:


Das Gesundheitsministerium informierte daraufhin unverzüglich den für die Programmierung der Webseite verantwortlichen Dienstleister Majorel, der die geschilderte Sicherheitslücke nachvollziehen und noch am Abend des 7. Mai schließen konnte. Majorel hat nach eingehender Untersuchung des Vorgangs festgestellt, dass eine Funktion für die Schwachstelle gesorgt habe, die für den Betrieb der Impfzentren ermöglicht, nach Datensätzen von registrierten Impfwilligen zu suchen. Diese Funktion ist für die Arbeit der Mitarbeiterinnen und Mitarbeiter an der Hotline unerlässlich, wenn beispielsweise Personen anrufen, die Ihren Termincode verloren haben und dann anhand ihres Namens identifiziert werden müssen.

Es habe insgesamt 50 Zugriffe und Zugriffsversuche auf das System gegeben, von denen 37 erfolgreich waren. Alle Zugriffe erfolgten am 6. und 7. Mai, also unmittelbar vor der Warnung des friendly Hackers an das Land. Daher sei mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass alle registrieren Zugriffe dieser Person zuzurechnen seien. Bei den Zugriffen wurden die Datensätze von insgesamt 1.258 registrierten Personen abgerufen oder angezeigt. Zum Ausnutzen der Schwachstelle sei Insiderwissen über die Anwendung notwendig. Die Sicherheitslücke sei nicht aktiv ausgenutzt worden. Eine Manipulation von Datensätzen könne ausgeschlossen werden.

Die Betroffenen werden verständigt


Gesundheitsstaatssekretär Heiger Scholz erklärt zu dem Vorgang: „Dank der Warnung des friendly Hackers konnte eine bedauerliche Sicherheitslücke im Impfportal geschlossen werden, bevor sie von weiteren Personen ausgenutzt werden konnte. Für diese Warnung sind wir sehr dankbar. Nichtsdestotrotz handelt es sich hierbei um einen Verstoß gegen den Datenschutz. Wir gehen davon aus, dass die Daten vom friendly Hacker nicht gespeichert wurden und den Betroffenen kein Schaden entstanden ist. Dennoch werden wir sie in den nächsten Tagen per Brief über diesen Vorgang informieren, um maximale Transparenz für alle Beteiligten herzustellen." Das Gesundheitsministerium hat auch die Landesdatenschutzbeauftrage über die vorliegende Datenschutzverletzung nach Artikel 33 DS-GVO informiert.


mehr News aus der Region