c’t deckt auf:
Sicherheitslücken im Pandemie-Management-System SORMAS

Hannover, 21. Mai 2021 – Deutsche Gesundheitsämter setzen bei der Kontaktverfolgung und Quarantäneverhängung von Corona-Infizierten zunehmend auf die Open-Source-Software SORMAS. Das System ist weltweit zum Management von Epidemien im Einsatz. Recherchen von Europas größtem IT- und Tech-Magazin c’t zeigen in Ausgabe 12/21, dass sich Angreifer bis vor Kurzem einfach von außen in SORMAS hätten einklinken und Daten manipulieren können.

SORMAS steht für: Surveillance, Outbreak Response Management and Analysis System. Das federführend vom Helmholtz-Zentrum für Infektionsforschung (HZI) entwickelte System dient der Verwaltung von Kontaktpersonen und zur Nachverfolgung von Infektionsketten. „Das Managementsystem ist seit 2016 ein Open-Source-Projekt, der Quellcode auf GitHub verfügbar“, erklärt c’t-Redakteur Hartmut Gieselmann. „Dadurch kann das System weltweit sehr einfach und unbürokratisch eingesetzt werden.“

Bis Mitte März wurden bei jeder Installation von SORMAS zu Demozwecken ungesicherte Standard-Accounts angelegt, auch für den Administrator. Die zugehörigen Passwörter standen festverdrahtet im Quellcode. Wer diesen studierte, konnte sich mit diesen Zugängen von außen über das Internet in die Systeme einklinken und nach Belieben Personendaten auslesen, verändern oder löschen. Über eine Auswertung der von SORMAS genutzten digitalen Zertifikate und über einschlägige Suchmaschinen entdeckte c’t Anfang Februar eine Vielzahl potenziell anfälliger SORMAS-Installationen im Internet – von Indien bis Afrika und von Australien bis Europa. „Da unsichere Standardeinstellungen erfahrungsgemäß häufig nicht angepasst werden, ist die Gefahr groß, dass sich darunter auch zahlreiche Installationen mit Default-Logins und Standardpasswörtern befinden“, gibt Security-Experte und c't-Autor Dr. Andreas Kurtz zu bedenken, der die Schwachstelle analysierte.

Die HZI-Entwickler reagierten auf die Hinweise von c’t und änderten die SORMAS-Konfiguration so ab, dass bei künftigen Neuinstallationen keine Default-Logins mehr angelegt werden. c’t kontaktierte darüber hinaus eine Forschungsgruppe der Hochschule Heilbronn, die sich mit Cybersicherheit an Schnittstellen zu medizinischen Anwendungen beschäftigt. Die Forscher um Prof. Dr.-Ing. Andreas Mayer erkannten das Problem und lieferten dem HZI kurzfristig Programmiercode. Durch die Umprogrammierung werden SORMAS-Nutzer und -Betreiber bei verwendeten Default-Logins oder Standardpasswörtern gewarnt und zum Passwortwechsel gezwungen.

Wie die Kooperation der Heilbronner Forschungsgruppe mit dem HZI zeigt, ist das SORMAS-Team gegenüber externen Beiträgen aufgeschlossen und nimmt sie dankbar an. „Wer dem Team auf GitHub unter die Arme greifen und zur erfolgreichen Pandemiebekämpfung beitragen möchte, rennt offene Türen ein“, betont Kurtz. Betreiber von SORMAS sollten in jedem Fall darauf achten, dass sie alle Standardpasswörter geändert haben und stets die neuste SORMAS-Version (aktuell 1.59) einsetzen, um mögliche Sicherheitslöcher zu schließen, bevor Angreifer sie ausnutzen.

Für die Redaktionen: Gerne stellen wir Ihnen den Artikel kostenlos zur Rezension zur Verfügung.