Gesundheitsberichterstattung des Bundes: Sicherheitslücke traf Favoritenliste
Eine Sicherheitslücke im Portal der Gesundheitsberichterstattung des Bundes hätte 500 Personen betreffen können, die sich eine Favoritenliste angelegt haben.
Die Website gbe-bund.de befindet sich seit Wochen im Wartungsmodus.
(Bild: Screenshot / heise online)
Vor einem Monat hatte IT-Sicherheitsexpertin Lilith Wittmann eine Sicherheitslücke in der Online-Datenbank der Gesundheitsberichterstattung (GBE) des Bundes entdeckt. Seitdem befindet sich die Website im Wartungsmodus. Ursache dafür ist eine Sicherheitslücke in einer neuen Funktion, mit der sich Leser Interessen abspeichern können. Davon betroffen sind rund 500 Nutzerprofile. Diese dienten "ausschließlich dem Speichern einer individuellen Favoritenliste und können optional die Angabe einer Mailadresse und eines Klarnamens enthalten", teilte ein Sprecher des Statistisches Bundesamts (Destatis) auf Nachfrage von heise online mit.
Ein Abfluss datenschutzrechtlich relevanter Nutzerinformationen konnte laut Destatis-Sprecher ausgeschlossen werden. "Auch Informationen wie zuletzt angesehene Fundstellen und persönliche Favoriten sind technisch nicht zugänglich gewesen. Geheime Statistikinformationen oder Einzeldaten sind im GBE-Portal nicht enthalten", heißt es weiter. Angreifer hätten, um auf die Konten zuzugreifen, einen Nutzernamen kennen und die URL manipulieren müssen. Sofern Nutzer eine E-Mail-Adresse oder einen Klarnamen angegeben hatten, wäre laut Sprecher eine Änderung der Angaben möglich gewesen. "Falls ihr euch fragt, warum solche Lücken (gemeint ist Cross Site Scripting) so kritisch sind: Statt daraus ein Spiel zu machen wie hier, kann man sowas super dazu benutzen, um jemanden einen Link per E-Mail zu schicken, der so aussieht, als sei er von einer Behördenwebsite", kommentiert Wittmann auf X.
Online-Datenbank bündelt Milliarden Zahlen
In die Online-Datenbank der GBE des Bundes fließen laut Bundesgesundheitsministerium Gesundheitsdaten und -informationen aus mehr als 100 verschiedenen Quellen zentral zusammen. Datengrundlage für die GBE des Bundes bilden die Zahlen des "vom Robert Koch-Instiuts (RKI) durchgeführten Gesundheitsmonitorings sowie andere epidemiologische Studien, amtliche Statistiken, epidemiologische Register sowie Routinedaten der Sozialversicherungsträger". Dabei ist von "drei Milliarden Zahlen und Kennziffern" die Rede. Diese stammen beispielsweise aus Erhebungen der statistischen Bundesämter. Interessierte können dort zum Beispiel nach Todesursachen suchen, aber auch nach Statistiken zu Übergewicht und vielem mehr. Internationale Erhebungen sind ebenfalls auffindbar.
Bis zum Ende der Wartungsarbeiten dauert es laut Destatis-Sprecher noch ein paar Wochen. Zuvor laufen noch Tests mit weiteren an das Portal angeschlossenen Institutionen.
(mack)
