IT-Recht

Apotheke: Porno statt Werbung – IT-Sicherheit als Pflichtaufgabe

In einer Apotheke aus München wurden die im Schaufenster installierten TV-Bildschirme zweckentfremdet: Statt der üblichen Werbung für Medikamente und Co. konnten Passanten nachts mehrere Stunden einen Sexfilm betrachten. Verantwortlich war ein Hacker. Der Fall zeigt deutlich, dass Unternehmen die eigene IT-Sicherheit ernst nehmen sollten, um unternehmerische und rechtliche Risiken zu verringern.

Apotheke: Porno statt Werbung – IT-Sicherheit als Pflichtaufgabe ©-asrawolf-Fotolia

Apotheke: Porno statt Werbung – IT-Sicherheit als Pflichtaufgabe ©-asrawolf-Fotolia

Sexfilm auf TV-Bildschirm

Viele Unternehmen setzen digitale Inhalte zu Werbe- und Informationszwecken ein. Die Digitale Beschilderung (Digital Signage) ist einerseits effektives und modernes Kommunikationsmittel, andererseits aber auch anfällig für unbefugte Zugriffe von außen. Sind Digital Signage Systeme nicht ausreichend gesichert, kann schon eine eigene Fernbedienung ausreichen, um eingeblendete Inhalte zu verändern. Aber auch wenn genutzte IT-Systeme besser geschützt werden, sind Zugriffe von außen grundsätzlich möglich. Datenschutzrechtlich problematisch ist die Situation vor allem dann, wenn Unternehmen verschiedene IT-Systeme über Schnittstellen verbinden und auch personenbezogene Kundendaten gespeichert werden.

IT-System mit iPhone gehackt

Das TV-System der Apotheke wurde anscheinend mit einem Smartphone gehackt: Der noch unbekannte Täter konnte sich mit seinem Telefon Zugriff zu dem TV-System verschaffen und die eingeblendeten Inhalte verändern. Dabei nutzte er wohl den Umstand aus, dass auf einem Bildschirm im Ladenlokal der Apotheke die Zugangsdaten zum Teamviewer-Account angezeigt worden sind. Mit Hilfe der Daten und seinem Telefon konnte der Unbekannte dann möglicherweise auf das IT-System zugreifen.

Teamviewer als Tool zur Fernwartung

Das Fernwartungstool Teamviewer wird häufig in Unternehmen eingesetzt, um Dienstleistern Zugriff auf die eigenen IT-Systeme gewähren zu können. Der große Vorteil bei der Verwendung eines solchen Wartungstools ist, dass der technische Dienstleister eben nicht vor Ort arbeiten muss. Grundsätzlich muss der Dienst von beiden Seiten – also vom Kunden und vom Dienstleistern – gestartet werden. Eine Sitzung kann nicht einseitig gestartet werden.

Prozess nicht beiderseitig gestartet

Wie der Hacker die Teamviewer-Session tatsächlich starten konnte, ist derzeit nicht endgültig geklärt, jedoch wird die logische Schlussfolgerung sein, dass auf dem Apotheken-Bildschirm der Teamviewer für jedermann sichtbar war. Das sollte jedoch dringend vermieden werden, da der Hacker vermutbar so die notwendigen Angaben wie ID und Passwort ganz leicht auf dem Bildschirm ablesen und so Zugriff gewinnen konnte. Auf Anfrage von invidis.de betonte der Unternehmenssprecher von Teamviewer, dass stets an der Sicherheit des Tools gearbeitet werde und keine Lecks bekannt seien. Der Sprecher betonte aber auch, dass es in der Vergangenheit Missbräuche gegeben habe. Eine Ursachen könnte möglicherweise darin liegen, dass die Passwortpflege nicht ausreichend sicher erfolgt ist. Eine mögliche andere Ursache kann nach Informationen von invidis.de jedoch auch darin liegen, dass das IT-System der Apotheke bereits im Vorfeld durch Viren, Mails oder Trojaner infiziert worden ist.

Problem bei IT-Sicherheit: Vernetzte Systeme

Problematisch ist, dass Unternehmen nicht selten unterschiedliche IT-Systeme miteinander verknüpfen. Wie invidis.de berichtet, waren in der betroffenen Apotheke das interne IT- und Kassensystem mit dem PoS- und dem Digital Signage System zumindest über Schnittstellen verbunden. Verschaffen sich Hacker dann unbefugt Zugriff auf nur ein System, haben sie oftmals auch leichteren Zugriff auf verbundene Systeme.

Sensible Kundendaten

Apotheken speichern häufig personenbezogene Daten und erheben sensible Kundeninformationen über beispielsweise benötigte Medikamente oder Krankheiten. Die Betreiber von Apotheken sollten sich der Gefahr bewusst sein, dass Hacker durchaus Interesse an solchen Daten haben. Nach Informationen von invidis.de hat der betroffene Apothekenbetreiber keinen unabhängigen IT-Experten beauftragt, um die eigenen IT-Systeme auf eine tiefergehende Infizierung zu überprüfen.

Möglicherweise größere Sicherheitslücke

Solange unklar ist, wie sich der Hacker Zugriff auf das TV-System verschaffen konnte und ob das System möglicherweise tiefergehend infiltriert worden ist, kann das Bestehen einer potentiell größeren Sicherheitslücke nicht ausgeschlossen werden. Diese wird aber nicht mit dem Fernwartungs-Tool Teamviewer oder dem verwendeten TV-System zusammen hängen.

Fazit

Unternehmen sollten IT-Systeme mit größtmöglichen Anstrengungen vor einem unbefugten Zugriff von außen schützen. Dies gilt vor allem für Unternehmen, die personenbezogene und sensible private Daten von Kunden speichern. Kommt es während des Betriebs zu Unregelmäßigkeiten und ist die Ursache nicht klar, sollte eine hinreichende Aufklärung unternommen werden, um bestehende Risiken minimieren zu können. (NH)

Sicher ist das folgende Video interessant:

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×