SORMAS steht für: Surveillance, Outbreak Response Management and Analysis System. Das federführend vom Helmholtz-Zentrum für Infektionsforschung (HZI) entwickelte System dient der Verwaltung von Kontaktpersonen und zur Nachverfolgung von Infektionsketten. „Das Managementsystem ist seit 2016 ein Open-Source-Projekt, der Quellcode auf GitHub verfügbar“, erklärt c’t-Redakteur Hartmut Gieselmann. „Dadurch kann das System weltweit sehr einfach und unbürokratisch eingesetzt werden.“
Bis Mitte März wurden bei jeder Installation von SORMAS zu Demozwecken ungesicherte Standard-Accounts angelegt, auch für den Administrator. Die zugehörigen Passwörter standen festverdrahtet im Quellcode. Wer diesen studierte, konnte sich mit diesen Zugängen von außen über das Internet in die Systeme einklinken und nach Belieben Personendaten auslesen, verändern oder löschen. Über eine Auswertung der von SORMAS genutzten digitalen Zertifikate und über einschlägige Suchmaschinen entdeckte c’t Anfang Februar eine Vielzahl potenziell anfälliger SORMAS-Installationen im Internet – von Indien bis Afrika und von Australien bis Europa. „Da unsichere Standardeinstellungen erfahrungsgemäß häufig nicht angepasst werden, ist die Gefahr groß, dass sich darunter auch zahlreiche Installationen mit Default-Logins und Standardpasswörtern befinden“, gibt Security-Experte und c’t-Autor Dr. Andreas Kurtz zu bedenken, der die Schwachstelle analysierte.
Die HZI-Entwickler reagierten auf die Hinweise von c’t und änderten die SORMAS-Konfiguration so ab, dass bei künftigen Neuinstallationen keine Default-Logins mehr angelegt werden. c’t kontaktierte darüber hinaus eine Forschungsgruppe der Hochschule Heilbronn, die sich mit Cybersicherheit an Schnittstellen zu medizinischen Anwendungen beschäftigt. Die Forscher um Prof. Dr.-Ing. Andreas Mayer erkannten das Problem und lieferten dem HZI kurzfristig Programmiercode. Durch die Umprogrammierung werden SORMAS-Nutzer und -Betreiber bei verwendeten Default-Logins oder Standardpasswörtern gewarnt und zum Passwortwechsel gezwungen.
Wie die Kooperation der Heilbronner Forschungsgruppe mit dem HZI zeigt, ist das SORMAS-Team gegenüber externen Beiträgen aufgeschlossen und nimmt sie dankbar an. „Wer dem Team auf GitHub unter die Arme greifen und zur erfolgreichen Pandemiebekämpfung beitragen möchte, rennt offene Türen ein“, betont Kurtz. Betreiber von SORMAS sollten in jedem Fall darauf achten, dass sie alle Standardpasswörter geändert haben und stets die neuste SORMAS-Version (aktuell 1.59) einsetzen, um mögliche Sicherheitslöcher zu schließen, bevor Angreifer sie ausnutzen.
Für die Redaktionen: Gerne stellen wir Ihnen den Artikel kostenlos zur Rezension zur Verfügung.
Die Computerzeitschrift c’t steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als Europas größtes IT- und Tech-Magazin greift c’t im vierzehntäglichen Rhythmus vielfältige Themen auf – praxisnah und stets auf Augenhöhe mit den Lesern.
Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software- und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung & Beruf.
Mehrmals im Jahr gibt c’t Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c’t Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c’t Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.
Heise Gruppe GmbH & Co KG
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: +49 (511) 5352-0
Telefax: +49 (511) 5352-129
http://www.heise-gruppe.de
Presse- und Öffentlichkeitsarbeit
Telefon: +49 (511) 5352-344
E-Mail: igr@heise.de