c't deckt auf
ID: 1903442
Sicherheitslücken im Pandemie-Management-System SORMAS
SORMAS steht für: Surveillance, Outbreak Response Management and Analysis System. Das federführend vom Helmholtz-Zentrum für Infektionsforschung (HZI) entwickelte System dient der Verwaltung von Kontaktpersonen und zur Nachverfolgung von Infektionsketten. ?Das Managementsystem ist seit 2016 ein Open-Source-Projekt, der Quellcode auf GitHub verfügbar?, erklärt c?t-Redakteur Hartmut Gieselmann. ?Dadurch kann das System weltweit sehr einfach und unbürokratisch eingesetzt werden.?
Bis Mitte März wurden bei jeder Installation von SORMAS zu Demozwecken ungesicherte Standard-Accounts angelegt, auch für den Administrator. Die zugehörigen Passwörter standen festverdrahtet im Quellcode. Wer diesen studierte, konnte sich mit diesen Zugängen von außen über das Internet in die Systeme einklinken und nach Belieben Personendaten auslesen, verändern oder löschen. Über eine Auswertung der von SORMAS genutzten digitalen Zertifikate und über einschlägige Suchmaschinen entdeckte c?t Anfang Februar eine Vielzahl potenziell anfälliger SORMAS-Installationen im Internet ? von Indien bis Afrika und von Australien bis Europa. ?Da unsichere Standardeinstellungen erfahrungsgemäß häufig nicht angepasst werden, ist die Gefahr groß, dass sich darunter auch zahlreiche Installationen mit Default-Logins und Standardpasswörtern befinden?, gibt Security-Experte und c't-Autor Dr. Andreas Kurtz zu bedenken, der die Schwachstelle analysierte.
Die HZI-Entwickler reagierten auf die Hinweise von c?t und änderten die SORMAS-Konfiguration so ab, dass bei künftigen Neuinstallationen keine Default-Logins mehr angelegt werden. c?t kontaktierte darüber hinaus eine Forschungsgruppe der Hochschule Heilbronn, die sich mit Cybersicherheit an Schnittstellen zu medizinischen Anwendungen beschäftigt. Die Forscher um Prof. Dr.-Ing. Andreas Mayer erkannten das Problem und lieferten dem HZI kurzfristig Programmiercode. Durch die Umprogrammierung werden SORMAS-Nutzer und -Betreiber bei verwendeten Default-Logins oder Standardpasswörtern gewarnt und zum Passwortwechsel gezwungen.
Wie die Kooperation der Heilbronner Forschungsgruppe mit dem HZI zeigt, ist das SORMAS-Team gegenüber externen Beiträgen aufgeschlossen und nimmt sie dankbar an. ?Wer dem Team auf GitHub unter die Arme greifen und zur erfolgreichen Pandemiebekämpfung beitragen möchte, rennt offene Türen ein?, betont Kurtz. Betreiber von SORMAS sollten in jedem Fall darauf achten, dass sie alle Standardpasswörter geändert haben und stets die neuste SORMAS-Version (aktuell 1.59) einsetzen, um mögliche Sicherheitslöcher zu schließen, bevor Angreifer sie ausnutzen.
Für die Redaktionen: Gerne stellen wir Ihnen den Artikel kostenlos zur Rezension zur Verfügung.
Die Computerzeitschrift c't steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als Europas größtes IT- und Tech-Magazin greift c't im vierzehntäglichen Rhythmus vielfältige Themen auf - praxisnah und stets auf Augenhöhe mit den Lesern.
Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software- und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung & Beruf.
Mehrmals im Jahr gibt c't Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c't Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c't Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Die Computerzeitschrift c't steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als Europas größtes IT- und Tech-Magazin greift c't im vierzehntäglichen Rhythmus vielfältige Themen auf - praxisnah und stets auf Augenhöhe mit den Lesern.Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software- und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung&Beruf.Mehrmals im Jahr gibt c't Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c't Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c't Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.
Datum: 21.05.2021 - 07:05 Uhr
Sprache: Deutsch
News-ID 1903442
Anzahl Zeichen: 4628
Kontakt-Informationen:
Stadt:
Hannover
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 406 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"c't deckt auf"
steht unter der journalistisch-redaktionellen Verantwortung von
Heise Gruppe GmbH&Co KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Heise Media Service ist Premium Partner 2023 im Rahmen des Google Partners-Programms. Damit gehört die in Hannover und Hamburg ansässige Online-Marketing-Agentur zu den 3 Prozent der Google Partner in Deutschland, die den Premium Status erreicht haben. Unter der Dachmarke Heise RegioConcept bietet
Logo, Hausfarbe und Schrift im neuen Look ...
Mit einem moderneren Logo startet das hannoversche MedienhausHeise in das neue Jahr. Das stilisierte „h“ für Heise erscheint jetzt ohne Kasten, das Heise-Blau bekommt eine dunklere Nuance und die Hausschrift ist ab sofort Source Sans Pro. Der gesamte Änderungsprozess mit dem Ziel, den Absender
Online-Marketing-Ratgeber von Heise RegioConcept ...
Kleine und mittlere Unternehmen profitieren erheblich von sozialen Netzwerken. Sie können bestehende sowie neue Kunden ansprechen und Mitarbeiter gewinnen. Allerdings braucht der Erfolg ein planvolles Vorgehen. Das neue E-Book „Social Media für Einsteiger“ von Heise RegioConcept hilft Unterneh
Weitere Mitteilungen von Heise Gruppe GmbH&Co KG
Galaxy Digital präsentiert auf Bernsteins 37. Jahreskonferenz für strategische Entscheidungen ...
Galaxy Digital Holdings Ltd (https://c212.net/c/link/?t=0&l=de&o=3166667-1&h=2069199637&u=https%3A%2F%2Fc212.net%2Fc%2Flink%2F%3Ft%3D0%26l%3Den%26o%3D3166667-1%26h%3D2210957198%26u%3Dhttps%253A%252F%252Fwww.galaxydigital.io%252F%26a%3DGalaxy%2BDigital%2BHoldings%2BLtd&a=Galaxy+Di
Galaxy Digital liefert aktualisierte Handelsergebnisse und CEO-Ansichten inmitten der Volatilität des Kryptowährungsmarktes ...
Galaxy Digital Holdings Ltd. (TSX: GLXY) ("Galaxy Digital" oder das "Unternehmen") gibt heute ein Update zu bestimmten operativen Kennzahlen im Zusammenhang mit seinem Galaxy Digital Trading ("GDT") Geschäft während der letzten 24 Stunden. Dieses Update soll den Aktio
Miro eröffnet neue Standorte in Berlin und München Berlin und München ...
Miro, führender Anbieter von Online-Whiteboard-Lösungen für die Zusammenarbeit in Teams, erweitert seine globale Präsenz durch die Eröffnung zweier deutscher Standorte in Berlin und München. Das Berliner Büro wird als Zentrum für die Produktentwicklung des Unternehmens dienen, während in MÃ
Blue Prism kündigt Version 7 an - die nächste Generation der intelligenten Automatisierung ...
München, 20. Mai 2021 - Blue Prism gab die Veröffentlichung seiner neuen intelligenten Automatisierungsplattform bekannt, mit der, unabhängig von der bestehenden Infrastruktur, auch komplexe Aufgaben im Unternehmen dank des Zusammenspiels von Mitarbeitern, Digital Workern und der Unternehmens-IT
