c''t deckt auf
Sicherheitslücken im Pandemie-Management-System SORMAS
(PresseBox) - Deutsche Gesundheitsämter setzen bei der Kontaktverfolgung und Quarantäneverhängung von Corona-Infizierten zunehmend auf die Open-Source-Software SORMAS. Das System ist weltweit zum Management von Epidemien im Einsatz. Recherchen von Europas größtem IT- und Tech-Magazin c?t zeigen in Ausgabe 12/21, dass sich Angreifer bis vor Kurzem einfach von außen in SORMAS hätten einklinken und Daten manipulieren können.
SORMAS steht für: Surveillance, Outbreak Response Management and Analysis System. Das federführend vom Helmholtz-Zentrum für Infektionsforschung (HZI) entwickelte System dient der Verwaltung von Kontaktpersonen und zur Nachverfolgung von Infektionsketten. ?Das Managementsystem ist seit 2016 ein Open-Source-Projekt, der Quellcode auf GitHub verfügbar?, erklärt c?t-Redakteur Hartmut Gieselmann. ?Dadurch kann das System weltweit sehr einfach und unbürokratisch eingesetzt werden.?
Bis Mitte März wurden bei jeder Installation von SORMAS zu Demozwecken ungesicherte Standard-Accounts angelegt, auch für den Administrator. Die zugehörigen Passwörter standen festverdrahtet im Quellcode. Wer diesen studierte, konnte sich mit diesen Zugängen von außen über das Internet in die Systeme einklinken und nach Belieben Personendaten auslesen, verändern oder löschen. Über eine Auswertung der von SORMAS genutzten digitalen Zertifikate und über einschlägige Suchmaschinen entdeckte c?t Anfang Februar eine Vielzahl potenziell anfälliger SORMAS-Installationen im Internet ? von Indien bis Afrika und von Australien bis Europa. ?Da unsichere Standardeinstellungen erfahrungsgemäß häufig nicht angepasst werden, ist die Gefahr groß, dass sich darunter auch zahlreiche Installationen mit Default-Logins und Standardpasswörtern befinden?, gibt Security-Experte und c''t-Autor Dr. Andreas Kurtz zu bedenken, der die Schwachstelle analysierte.
Die HZI-Entwickler reagierten auf die Hinweise von c?t und änderten die SORMAS-Konfiguration so ab, dass bei künftigen Neuinstallationen keine Default-Logins mehr angelegt werden. c?t kontaktierte darüber hinaus eine Forschungsgruppe der Hochschule Heilbronn, die sich mit Cybersicherheit an Schnittstellen zu medizinischen Anwendungen beschäftigt. Die Forscher um Prof. Dr.-Ing. Andreas Mayer erkannten das Problem und lieferten dem HZI kurzfristig Programmiercode. Durch die Umprogrammierung werden SORMAS-Nutzer und -Betreiber bei verwendeten Default-Logins oder Standardpasswörtern gewarnt und zum Passwortwechsel gezwungen.
Wie die Kooperation der Heilbronner Forschungsgruppe mit dem HZI zeigt, ist das SORMAS-Team gegenüber externen Beiträgen aufgeschlossen und nimmt sie dankbar an. ?Wer dem Team auf GitHub unter die Arme greifen und zur erfolgreichen Pandemiebekämpfung beitragen möchte, rennt offene Türen ein?, betont Kurtz. Betreiber von SORMAS sollten in jedem Fall darauf achten, dass sie alle Standardpasswörter geändert haben und stets die neuste SORMAS-Version (aktuell 1.59) einsetzen, um mögliche Sicherheitslöcher zu schließen, bevor Angreifer sie ausnutzen.
Für die Redaktionen: Gerne stellen wir Ihnen den Artikel kostenlos zur Rezension zur Verfügung.
Die Computerzeitschrift c''t steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als Europas größtes IT- und Tech-Magazin greift c''t im vierzehntäglichen Rhythmus vielfältige Themen auf - praxisnah und stets auf Augenhöhe mit den Lesern.
Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software- und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung & Beruf.
Mehrmals im Jahr gibt c''t Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c''t Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c''t Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Die Computerzeitschrift c''t steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als Europas größtes IT- und Tech-Magazin greift c''t im vierzehntäglichen Rhythmus vielfältige Themen auf - praxisnah und stets auf Augenhöhe mit den Lesern.Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software- und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung&Beruf.Mehrmals im Jahr gibt c''t Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c''t Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c''t Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.
Datum: 21.05.2021 - 07:05 Uhr
Sprache: Deutsch
News-ID 1903442
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner:
Stadt:
Hannover
Telefon:
Kategorie:
IT, New Media & Software
Anmerkungen:
Dieser Fachartikel wurde bisher 146 mal aufgerufen.
Der Fachartikel mit dem Titel:
"c''t deckt auf
"
steht unter der journalistisch-redaktionellen Verantwortung von
Heise Gruppe GmbH&Co KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).