idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
• HHN-Professor Andreas Mayer und sein Team schließen Sicherheitslücken in
SORMAS-Software
• Sicherheitsupdate im offiziellen SORMAS Release 1.59 integriert
• Ein gutes Beispiel für anwendungsorientierte und nachhaltige Forschung an der HHN
Heilbronn, Mai 2021. Die kostenlose Open Source Software SORMAS wird weltweit zur Bekämpfung der Corona-Pandemie eingesetzt. Auch deutsche Gesundheitsämter nutzen SORMAS zur effizienten und digitalen Kontaktverfolgung durch die Vernetzung aller am Pandemie-Management beteiligten Akteure, wie z. B. Ärzte, Labore und Epidemiologen. 2014 entwickelte das Helmholtz-Zentrum für Infektionsforschung (HZI) die Anwendung, um alle beteiligten Stellen mit den relevanten Informationen zu versorgen.
Sicherheitsrisiken bei Standard Accounts und Passwörtern
In SORMAS werden hochsensible medizinische und personenbezogene Daten, wie z. B. Namen, Wohnorte, Telefonnummern und Krankheits-symptome von Infizierten sowie deren Kontakte gespeichert. Aus Sicht des Datenschutzes und der IT-Sicherheit ist diese Anwendung deshalb als besonders kritisch und schützenswert einzustufen. Bis Mitte März 2021 legte SORMAS bei jeder Installation automatisch immer die gleichen Standard-Benutzer an, die vom normalen Anwender bis hin zum Administrator reichten. Auch die zugehörigen Passwörter zu den zwölf Standard Accounts waren statisch und sehr simpel. Es bestand die Gefahr, dass Unbefugte über den im Internet frei verfügbaren Quelltext von SORMAS die Zugangsdaten der Benutzerkonten in Erfahrung bringen konnten. Dadurch wäre es nicht nur sehr einfach möglich gewesen, sensible Daten in SORMAS einzusehen, sondern diese auch zu manipulieren oder zu löschen. Recherchen des Nachrichtenmagazins Heise wiesen das HZI auf diese Schwachstellen hin, so dass im SORMAS Release 1.58 im März 2021 zunächst die automatische Erzeugung der Standard Accounts deaktiviert wurde.
HHN-Code schließt Sicherheitslücke
Das Softwareupdate half jedoch nur bei Neuinstallationen von SORMAS. Bestehende Installationen behielten ihre unsicheren Nutzerkonten auch nach einem Update. Dadurch waren diese potenziell weiterhin verwundbar. HHN-Professor Dr.-Ing. Andreas Mayer, die beiden Doktoranden Richard Zowalla und Maximilian Westers sowie der wissenschaftliche Mitarbeiter Simon Schweizer entwickelten ein Sicherheitsupdate. Durch dieses werden SORMAS-Betreiber und Anwender nun aktiv auf vorhandene Standard Accounts hingewiesen und bei betroffenen Konten wird ein Passwortwechsel erzwungen. „Als wir über Heise von diesen Sicherheitsproblemen erfahren haben, sind wir direkt mit dem HZI in Kontakt getreten und haben nach einer Lösung für diese kritischen Sicherheitslücken gesucht. Die Entwicklung von sicherer Software, besonders im medizinischen Kontext, ist einer unserer Schwerpunkte in der Lehre und der Forschung“, erklärt Mayer. Die entwickelten Verbesserungen flossen in das Anfang Mai veröffentlichte SORMAS Release 1.59 ein. „Das heißt, auf allen weltweit betriebenen Installationen wird zukünftig auch Code der HHN laufen. Dadurch ist die (SORMAS-) Welt wieder ein bisschen sicherer geworden“, freuen sich Prof. Mayer und sein Team.
--
Hochschule Heilbronn – Kompetenz in Technik, Wirtschaft und Informatik
Mit ca. 8.200 Studierenden ist die Hochschule Heilbronn eine der größten Hochschulen für Angewandte Wissenschaften in Baden-Württemberg.
Ihr Kompetenz-Schwerpunkt liegt auf den Bereichen Technik, Wirtschaft und Informatik. An vier Standorten in Heilbronn, Heilbronn-Sontheim,
Künzelsau und Schwäbisch Hall bietet die Hochschule mehr als 50 Bachelor- und Masterstudiengänge an. Die Hochschule pflegt enge
Kooperationen mit Unternehmen aus der Region und ist dadurch in Lehre, Forschung und Praxis gut vernetzt.
Ansprechpartner: Prof. Dr.-Ing. Andreas Mayer, Fakultät Informatik,
Professor für IT-Sicherheit, Rechnernetze und Softwareentwicklung,
Telefon: 07131-504-369, E-Mail: andreas.mayer@hs-heilbronn.de
Internet: http://www.hs-heilbronn.de
Pressekontakt Hochschule Heilbronn: Torsten Robert, Pressesprecher,
Max-Planck-Str. 39, 74081 Heilbronn, Telefon: 07131-504-499,
E-Mail: torsten.robert@hs-heilbronn.de, Internet: http://www.hs-heilbronn.de
Criteria of this press release:
Business and commerce, Journalists, Scientists and scholars, Students, Teachers and pupils, all interested persons
Information technology, Nutrition / healthcare / nursing, Social studies, Teaching / education
transregional, national
Cooperation agreements, Transfer of Science or Research
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
