Sicherheitslücken: Rückkehr der Frickler
In der Pandemie mussten Websites von Impf- und Testzentren schnell online gebracht werden. Leider wurde dabei häufig nicht sauber gearbeitet.
- Jan Mahn
Naturfreunde sind entzückt. Wo die Pandemie Tourismus und Verkehr zum Erliegen gebracht hat, eroberte sich die Tier- und Pflanzenwelt ihren Lebensraum zurück. Und auch in der IT beobachten wir die Rückkehr einer Spezies, die seit den Zweitausendern als nahezu ausgestorben galt: der Frickler. Ausgestattet mit ungesundem Halbwissen, Texteditor und dem abgeschlossenen Selbststudium eines PHP-Tutorials machte das possierliche Tierchen damals das Internet unsicher. Mit Gästebüchern und Kommentarfunktionen sorgte er für Abwechslung, aber auch für SQL-Injections und Datenlecks. Was man damals Web 2.0 nannte, war aus heutiger Sicht oft eine Sicherheitskatastrophe.
Dann wurde der Frickler verdrängt. Viele Jahre dominierte die Spezies des hippen Start-up-Fullstack-Webentwicklers das Internet. Ausgestattet mit Mate-Teegetränk, Bootstrap-Framework und Megabyte-weise JavaScript bestimmte er unsere Erwartungen von Websites und veränderte auch den Stil hin zu zeitgemäßen Sicherheitslücken. Nicht Ahnungslosigkeit war jetzt das Problem, sondern Zeitdruck. Da kam es schon mal vor, dass eine Kundendatenbank oder ein paar Tausend Kennwörter an die Öffentlichkeit gelangten. Hupsi. Egal. Gehört bei Start-ups zur Mentalität: scheitern, aufstehen und weitermachen.
Anfang 2021 dann die Überraschung. Der Frickler war zurückgekehrt. Die Pandemie hatte ihm ein neues Habitat bereitet: Impf- und Testterminvergabeplattformen für Ärzte, Apotheker und Testcenter. Weil Zeit und Expertise knapp waren, durfte er wieder nach Herzenslust dilettieren, ohne Rücksicht auf die Gesundheitsdaten. Mit all den liebenswerten Macken, mit den besten Fehlern der Neunziger und Zweitausender und dem Schlimmsten von heute. Die Konsequenzem für Patienten sind entsprechend.
Schön, dass sich auch Programmierneulinge an eigene Projekte und Anwendungen herantrauen - an Herausforderungen wächst man und aus Fehlern kann man viel lernen. Online-Dienste mit Gesundheitsdaten sind aber der denkbar ungünstigste Spielplatz, um sie zu machen.
In c’t 14/2021 zeigen wir, wie Sie unbehelligt von Cookies und Trackern surfen können. c't-Redakteur Mirko Dölle fand heraus, wie sich Apples AirTags als Stalking-Kit ummodeln lassen. Außerdem haben wir den Raspi als Backup-Server aufgerüstet, beleuchten die Technik und Infrastruktur zur Kartenzahlung und erklären, was Sie nach dem Ende von UMTS beachten sollten. Ausgabe 14/2021 finden Sie ab dem 18. Juni im Heise-Shop und am gut sortierten Zeitschriftenkiosk.
(jam)
