Apotheken können noch mindestens bis Montag keine digitalen Zertifikate über eine bestehende Corona-Impfung ausstellen. IT-Experten haben eine Sicherheitslücke im System für die Nachweise offengelegt. Martin Tschirsich vom Chaos Computer Club (CCC) ist einer der beiden.
Herr Tschirsich, mit einem Kollegen haben Sie eine Sicherheitslücke in dem Onlineportal festgestellt, in dem die digitalen Impfnachweise erstellt werden. Wie simpel war das?
Die zugrundeliegenden Sicherheitsmängel im Portal des Deutschen Apothekerverbandes (DAV) sind offensichtlich und dem DAV bekannt. Spätestens seit der Enthüllung, dass über das DAV-Portal ausgestellte Impfzertifikate für kleines Geld über Telegram verkauft werden, hätte der DAV reagieren müssen. Uns war es durch die Sicherheitslücke möglich, echte Zertifikate unberechtigterweise auszustellen.
Wie ist das möglich?
Das ursprüngliche, vom BMG ausgeschriebene Konzept sah eine Anbindung an die im Gesundheitswesen etablierte Telematik-Infrastruktur und eine Zwei-Faktor-Authentisierung vor. Auf beide Sicherheitsmaßnahmen wurde verzichtet. Stattdessen benutzen sie ein Internet-Portal des DAV, das für diese Aufgabe völlig unzureichend abgesichert ist.
Aber wie groß ist das kriminelle Potential? Ist es finanziell interessant für Kriminelle, Impfzertifikate zu erschleichen und zu verkaufen?
Recherchen in der Schweiz haben gezeigt, dass echte deutsche Impfzertifikate zu überschaubaren Preisen auch im innereuropäischen Ausland angeboten werden. Diese Zertifikate werden nachweislich über das Portal des DAV ausgestellt.
Wie ist das belegt? Bundesgesundheitsministerium und DAV behaupten, ihnen sei kein Betrugsfall bekannt.
Die Recherchen des Schweizer Nachrichtenportals belegen das. Sie sprechen von „Deals, die über eine verschlüsselte Messenger-App in weniger als 30 Minuten zustande kamen“. Der DAV wurde mit diesen Erkenntnissen konfrontiert, hat aber offenbar keine Schlüsse daraus gezogen.
Wie schnell können die Verantwortlichen das Problem beheben und die Ausstellung der Zertifikate wieder freischalten?
Der DAV hat entschieden, die Ausstellung von Impfzertifikaten über das DAV-Portal sofort und deutschlandweit zu stoppen. Man hat diese Vorgehensweise weder mit uns oder den Apotheken abgesprochen noch Informationen über die geplante weitere Vorgehensweise mitgeteilt. Tatsächlich bietet sich ein Zugang zum Impfzertifikatservice des RKI über die Telematik-Infrastruktur an. Diesen Zugangsweg nutzen die niedergelassenen Ärzte bereits seit vielen Wochen erfolgreich, die Apotheken müssen lediglich nachziehen. Der DAV hätte einen fließenden Übergang ermöglichen können, ohne dass es zu einem deutschlandweiten Ausgabestopp gekommen wäre. Dies muss jetzt schnell nachgeholt werden.
Der CCC wies schon vor über einem Monat auf ein anderes Fälschungsrisiko hin: Weder das Chargenetikett der Corona-Impfung noch Arztstempel und Unterschrift im herkömmlichen Impfbuch verfügten über besondere, notwendige Sicherheitsmerkmale, kritisierten Sie. Hat sich daran etwas geändert?
Nein. Zwar besitzen einige Chargenetiketten nun Sicherheitsmerkmale, aber nicht alle. Das Entdeckungsrisiko bei einer physischen Urkundenfälschung und der Vorlage vor Ort in einer Apotheke ist allerdings deutlich höher als bei dem jetzt demonstrierten Angriff über das Internet.
Mehr zum Thema: Die Apotheken können zurzeit keine Zertifikate fürs Handy ausstellen. Und dabei bleibt es noch einige Tage.
