Schwachstellen bei COVID-19-Impfportalen und beim SORMAS-System

Diese Woche wurden zwei weitere (potentielle) Datenlecks, bedingt durch Schwachstellen, im Umfeld der COVID-19-Impfportale und der von den Gesundheitsämtern verwendeten SORMAS-Software bekannt. Daher ziehe ich einige Informationen zu diesen Vorfällen in einem Sammelbeitrag zusammen. Beide Fälle gingen glimpflich ab, da White Hat-Hacker die Schwachstellen entdeckten und meldeten.

Sicherheitslücken bei SORMAS

Deutsche Gesundheitsämter setzen bei der Kontaktverfolgung und Quarantäneverhängung von Corona-Infizierten zunehmend auf die Open-Source-Software SORMAS. Das System ist weltweit zum Management von Epidemien im Einsatz. Das Kürzel SORMAS steht für: Surveillance, Outbreak Response Management and Analysis System.

Das federführend vom Helmholtz-Zentrum für Infektionsforschung (HZI) entwickelte System dient der Verwaltung von Kontaktpersonen und zur Nachverfolgung von Infektionsketten. „Das Managementsystem ist seit 2016 ein Open-Source-Projekt, der Quellcode auf GitHub verfügbar", erklärt c't-Redakteur Hartmut Gieselmann. „Dadurch kann das System weltweit sehr einfach und unbürokratisch eingesetzt werden."

Bis Mitte März wurden bei jeder Installation von SORMAS zu Demozwecken ungesicherte Standard-Accounts angelegt, auch für den Administrator. Die zugehörigen Passwörter standen festverdrahtet im Quellcode. Wer diesen studierte, konnte sich mit diesen Zugängen von außen über das Internet in die Systeme einklinken und nach Belieben Personendaten auslesen, verändern oder löschen.

Über eine Auswertung der von SORMAS genutzten digitalen Zertifikate und über einschlägige Suchmaschinen entdeckte c't Anfang Februar eine Vielzahl potenziell anfälliger SORMAS-Installationen im Internet – von Indien bis Afrika und von Australien bis Europa. „Da unsichere Standardeinstellungen erfahrungsgemäß häufig nicht angepasst werden, ist die Gefahr groß, dass sich darunter auch zahlreiche Installationen mit Default-Logins und Standardpasswörtern befinden", gibt Security-Experte und c't-Autor Dr. Andreas Kurtz zu bedenken, der die Schwachstelle analysierte. Die Redaktion hat diesen Artikel dazu veröffentlicht und zeigt in der c't zeigen in Ausgabe 12/21, dass sich Angreifer bis vor Kurzem einfach von außen in SORMAS hätten einklinken und Daten manipulieren können.

Die HZI-Entwickler reagierten auf die Hinweise von c't und änderten die SORMAS-Konfiguration so ab, dass bei künftigen Neuinstallationen keine Default-Logins mehr angelegt werden. c't kontaktierte darüber hinaus eine Forschungsgruppe der Hochschule Heilbronn, die sich mit Cybersicherheit an Schnittstellen zu medizinischen Anwendungen beschäftigt. Die Forscher um Prof. Dr.-Ing. Andreas Mayer erkannten das Problem und lieferten dem HZI kurzfristig Programmiercode. Durch die Umprogrammierung werden SORMAS-Nutzer und -Betreiber bei verwendeten Default-Logins oder Standardpasswörtern gewarnt und zum Passwortwechsel gezwungen.

Wie die Kooperation der Heilbronner Forschungsgruppe mit dem HZI zeigt, ist das SORMAS-Team gegenüber externen Beiträgen aufgeschlossen und nimmt sie dankbar an. „Wer dem Team auf GitHub unter die Arme greifen und zur erfolgreichen Pandemiebekämpfung beitragen möchte, rennt offene Türen ein", betont Kurtz. Betreiber von SORMAS sollten in jedem Fall darauf achten, dass sie alle Standardpasswörter geändert haben und stets die neuste SORMAS-Version (aktuell 1.59) einsetzen, um mögliche Sicherheitslöcher zu schließen, bevor Angreifer sie ausnutzen.

Datenleck bei niedersächsischem Impfportal

Beim niedersächsischem Impfportal gab es eine Schwachstelle, über die Unbefugte die persönlichen Daten von Impfwilligen abrufen konnten. Ein White Hat-Hacker hat das Datenleck entdeckt und dann an das Computer-Notfallteam Niedersachsen-CERT und das Gesundheitsministerium gemeldet. In einer Meldung des Ministeriums heißt es, dass die Schwachstelle sofort geschlossen wurde.

Anonymer Hinweis führte zu sofortiger Schließung von Sicherheitslücke im Impfportal

Dank des anonymen Hinweises eines sogenannten „friendly hackers" (freundlicher Hacker) an das Computer-Notfallteam Niedersachsen-CERT und das Gesundheitsministerium konnte eine Sicherheitslücke im Impfportal unter www.impfportal-niedersachsen.de behoben werden, bevor sie von weiteren Personen ausgenutzt werden konnte.

Freundliche Hacker, auch „whitehats" genannt, suchen Sicherheitslücken in Computersystemen und weisen die Betreiberinnen und Betreiber darauf hin, damit sie frühzeitig geschlossen werden können.

Am 7. Mai 2021 erhielten das Gesundheitsministerium und das Niedersachsen-CERT eine E-Mail der Hinweisgeberin oder des Hinweisgebers unter dem Namen „Impfportal Whitehat". Darin schilderte der Hacker, dass es ihm gelungen sei, über das Impfportal Zugriff auf Namen und Adressen von registrierten impfwilligen Personen zu erhalten. Weiter hieß es in der Mail:

„Eins vorweg: Ich habe nur gute Absichten und möchte dazu beitragen, dass die Lücke schnell geschlossen wird, bevor andere diese ebenfalls entdecken.

Ich versichere ihnen hiermit, dass meine bisherigen Abrufe rein zum Aufspüren dieser Sicherheitslücke dienten und ich KEINERLEI Daten hieraus gespeichert habe."

Das Gesundheitsministerium informierte daraufhin unverzüglich den für die Programmierung der Webseite verantwortlichen Dienstleister Majorel, der die geschilderte Sicherheitslücke nachvollziehen und noch am Abend des 7. Mai schließen konnte.

Majorel hat nach eingehender Untersuchung des Vorgangs festgestellt, dass

1. eine Funktion für die Schwachstelle gesorgt habe, die für den Betrieb der Impfzentren ermöglicht, nach Datensätzen von registrierten Impfwilligen zu suchen. Diese Funktion ist für die Arbeit der Mitarbeiterinnen und Mitarbeiter an der Hotline unerlässlich, wenn beispielsweise Personen anrufen, die Ihren Termincode verloren haben und dann anhand ihres Namens identifiziert werden müssen.
2. es insgesamt 50 Zugriffe und Zugriffsversuche auf das System gegeben habe, von denen 37 erfolgreich waren. Alle Zugriffe erfolgten am 6. und 7. Mai, also unmittelbar vor der Warnung des friendly Hackers an das Land. Daher ist mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass alle registrieren Zugriffe dieser Person zuzurechnen sind.
3. bei den Zugriffen die Datensätze von insgesamt 1.258 registrierten Personen abgerufen bzw. angezeigt worden seien.
4. zum Ausnutzen der Schwachstelle Insiderwissen über die Anwendung notwendig sei,
5. die Sicherheitslücke nicht aktiv ausgenutzt worden und
6. eine Manipulation von Datensätzen ausgeschlossen sei.

Im entsprechenden Bericht von Majorel heißt es weiter:

Zusammenfassend kann die Schwachstelle so beschrieben werden, dass für den Betrieb der Impfzentren nach Datensätzen von Impfwilligen gesucht werden kann. Diese Schnittstelle liefert basierend auf Parametern wie z.B. dem Nachnamen bis zu 500 Suchergebnisse zurück.

Der Informant der diese Schwachstelle entdeckt hat, muss diese Funktion, welche nur aus dem geschützten VPN-Bereich, nach Anmeldung via Benutzername und Passwort zugänglich ist, aufgegriffen und auf dem Bürgerportal angewendet haben. Hierzu hat er sich auf dem Bürgerportal angemeldet und per SMS authentifiziert. Dieser Authentifizierungstoken ist für 120 Sekunden gültig und konnte ungeplant für die Abfrage der Schnittstelle in diesen zwei Minuten genutzt werden.

Eine Analyse der Logfiles ergab insgesamt 50 Zugriffe und Zugriffsversuche am Donnerstag, 6.5.2021 und Freitag, 7.5.2021. Es konnten keine Zugriffe vor dem 6.5.2021 festgestellt werden. Weitere Zugriffsversuche werden engmaschig überwacht.

Gesundheitsstaatssekretär Heiger Scholz erklärt zu dem Vorgang: „Dank der Warnung des friendly Hackers konnte eine bedauerliche Sicherheitslücke im Impfportal geschlossen werden, bevor sie von weiteren Personen ausgenutzt werden konnte. Für diese Warnung sind wir sehr dankbar. Nichtsdestotrotz handelt es sich hierbei um einen Verstoß gegen den Datenschutz. Wir gehen davon aus, dass die Daten vom friendly Hacker nicht gespeichert wurden und den Betroffenen kein Schaden entstanden ist. Dennoch werden wir sie in den nächsten Tagen per Brief über diesen Vorgang informieren, um maximale Transparenz für alle Beteiligten herzustellen."

Das Gesundheitsministerium hat auch die Landesdatenschutzbeauftrage über die vorliegende Datenschutzverletzung nach Artikel 33 DS-GVO informiert.

Ich bin über diesen Artikel der Kollegen von heise auf diesen Sachverhalt aufmerksam geworden. Mit der Sicherheit hapert es an allen Ecken und Enden.