Statement zu angeblichen Sicherheitslücken in SORMAS

Statement zu angeblichen Sicherheitslücken in SORMAS

Die SORMAS-Instanzen der Gesundheitsämter in Deutschland werden im Rahmen des Projektes SORMAS@DEMIS aufgesetzt und durch die Netzlink Informationstechnik GmbH betrieben.
Diese Systeme werden grundsätzlich nicht mit Standard-Credentials zur Verfügung gestellt.

Jedes Gesundheitsamt erhält beim Rollout ein individuelles Admin-Passwort zugewiesen, welches nicht im Quellcode hinterlegt ist. Der Standard-User (Default) ist deaktiviert.

Dies gilt für alle Instanzen, die im Rahmen des SORMAS@DEMIS Projekts in Deutschland aufgesetzt wurden bzw. werden. Aufgrund dessen stufen das HZI und Netzlink die u.A. im Artikel von Heise benannten Sicherheitslücken nicht als solche ein.

Bei den dort genannten Systemen handelt es sich um Test- und Demo-Systeme, wie sie auf der Website www.sormas-oegd.de zur Verfügung stehen. Diese enthalten keine Echtdaten.

Da es sich bei SORMAS um eine open-source Software handelt, kann jede Person SORMAS installieren. Diese Instanzen liegen nicht in der Verantwortung der beteiligten Projektpartner von SORMAS@DEMIS. Es wurde auf GitHub bis Version 1.56 kenntlich gemacht, dass die Default-Credentials nach Installation deaktiviert werden müssen. Seit der Version 1.56.1 besteht zudem die Möglichkeit die Default‑Credentials durch setzen eines Flags auf einfache Weise zu deaktivieren (GitHub-Link). Zusätzlich dazu gibt es seit der Version 1.59 eine Aufforderung das Passwort zu ändern, wenn man sich mit einem Standard-User anmeldet (GitHub-Link).

 

Share on twitter
Twitter