Sicherheitslücken in SORMAS

SORMAS steht für „Surveillance, Outbreak Response Management and Analysis System“ und ist die von den Gesundheitsämtern eingesetzte Open-Source-Software zur Kontaktverfolgung. Das System ist weltweit zum Management von Epidemien im Einsatz. Es werden für gewöhnlich Namen, Adressen und Telefonnummern, Testergebnisse sowie Quarantäne-Anordnungen gesammelt. Sollten diese Informationen an die falschen Personen geraten oder manipuliert werden, hätte dies für die Betroffenen und für die gesamte Pandemiebekämpfung fatale Folgen.

Bis Mitte März wurden ungesicherte Standard-Accounts bei der Installation angelegt und aktiviert. Die zugehörigen Passwörter standen festverdrahtet im Quellcode. Somit konnte sich von außen über das Internet in die Systeme eingeklinkt und nach Belieben Personendaten ausgelesen, verändert oder gar gelöscht werden.

Diese Standard-Accounts mit statischen Passwörtern stellen einen Verstoß gegen das „Security by Default“-Paradigma.

Ende Februar erklärte das HZI, dass es das Problem nicht als Sicherheitslücke einstuft. Die Update-Hinweise erklären, dass die automatisch angelegten Konten lediglich Demo- oder Testzwecken dienen. Admins sind dazu angehalten, die Konten auf Produktivsystemen selbständig zu entfernen oder die Passwörter zu ändern.

Laut HZI sind deutsche Gesundheitsämter nicht betroffen. 336 Ämter beantragen die SORMAS-Instanzen über das mit dem RKI konzipierte Projekt SORMAS@DEMIS, welches von einem IT-Dienstleister installiert und zentral betrieben wird. Diese werden grundsätzlich ohne Standard-Accounts aufgesetzt.

Die HZI-Entwickler reagieren auf die Hinweise und änderten die SORMAS-Konfiguration so, dass bei zukünftigen Neuinstallationen keine Default-Logins mehr angelegt werden. Mit dem Release 1.58 im März wurde die Änderung veröffentlicht. An den bestehenden Installationen ändert sich hierdurch allerdings nichts.

Verbleibende Probleme, wie die standardmäßig angelegten Passwörter für Admin-Kontos, wurden erst in der SORMAS-Version 1.59 gefixt. Bei vorhandenen Default-Logins oder Standardpasswörtern werden SORMAS-Nutzer nun gewarnt und es werden Passwortwechsel für die betroffenen Konten erzwungen.

Betreiber von SORMAS sollten darauf achten, dass sie alle Standardpasswörter geändert haben und stets die neuste Version – aktuell 1.59 auf GitHub – einsetzen, um mögliche Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen.

Ich kann Pusch-Data von ganzem Herzen weiterempfehlen. Pusch-Data kümmert sich vollumfänglich um unsere IT. Die Beratung und der Service sind unschlagbar!

Frank Weeger, Geschäftsführer Autohaus Klützke

Durch die exzellente Betreuung unserer IT-Systeme und vor allem durch die schnelle und zuverlässige Hilfe bei Problemen, haben wir eine funktionierende und verlässliche IT – und das bereits seit über 2 Jahrzehnten.

Jochen Eisele, Geschäftsführer Etiketten + Druck Eisele GmbH

Die Beck Metall GmbH ist bereits seit über 20 Jahren Kunde der Pusch-Data. Der Service ist mehr als zufriedenstellend und immer hilfreich.
Egal welche Fragen oder welches Anliegen wir haben, man bekommt immer schnell und unbürokratisch eine Lösung präsentiert.
Die Unterstützung der Pusch-Data hilft uns unsere EDV und Produktion immer aufrecht zu erhalten und daher möchten wir diesen Service nicht missen!

Jürgen Schusser, Leiter IT Beck Metall GmbH

Ich kann Pusch-Data jedem nur weiterempfehlen. Von der Konzeption bis zum Betrieb unserer IT wurden wir immer kompetent und ehrlich beraten. Pusch-Data unterstützt uns nun seit vielen Jahren und wir könnten nicht zufriedener sein!

Joachim W. Dörr, Hauptgeschäftsführer Bund der Selbständigen Baden-Württemberg e.V.

Pusch-Data war bei jedem Schritt unserer Reise zur digitalisierten Schule an unserer Seite - vom Konzept, über den Aufbau bis hin zur Unterstützung und Schulung der Lehrkräfte. Das Pusch-Data Team bietet unseren Lehrkräften einen schnellen und zuverlässigen Support, wenn Schwierigkeiten oder Probleme mit dem Schulnetzwerk auftreten.

Achim Auwärter, stellv. Schulleiter Staufeneckschule Salach

Pusch-Data GmbH
Am Eichenbach 1
D-73054 Eislingen/ Fils

Fon: +49 7161 / 65 393 0
Fax: +49 7161 / 65 393 99

info@pusch-data.de

Mo – Fr 07:30 – 17:00 Uhr

Pusch-Data GmbH
Am Eichenbach 1
D-73054 Eislingen/ Fils

Fon: +49 7161 / 65 393 0
Fax: +49 7161 / 65 393 99

info@pusch-data.de

Mo – Fr 07:30 – 17:00 Uhr

Diese Themen könnten Sie auch interessieren:

unser Dualer Student bei der Konferenz zu Data Management in Indien

Die Ausrollung einer Europäischen Datengrenze von Microsoft: Verringerung des Datenflusses in die USA und erhöhte Datensicherheit

Cyber-Sicherheitslage in Deutschland

Veranstaltungen

Ich kann Pusch-Data von ganzem Herzen weiterempfehlen. Pusch-Data kümmert sich vollumfänglich um unsere IT. Die Beratung und der Service sind unschlagbar!

Durch die exzellente Betreuung unserer IT-Systeme und vor allem durch die schnelle und zuverlässige Hilfe bei Problemen, haben wir eine funktionierende und verlässliche IT – und das bereits seit über 2 Jahrzehnten.

Ich kann Pusch-Data jedem nur weiterempfehlen. Von der Konzeption bis zum Betrieb unserer IT wurden wir immer kompetent und ehrlich beraten. Pusch-Data unterstützt uns nun seit vielen Jahren und wir könnten nicht zufriedener sein!