Apotheken dürfen ab Montag wieder digitale Impfzertifikate ausstellen
Der Apothekerverband will sein Portal zur Ausstellung digitaler Impfzertifikate wieder in Betrieb nehmen. Die Entdecker der Sicherheitslücke erheben Vorwürfe.
(Bild: Shutterstock.com/ronstik)
Im Lauf der kommenden Woche sollen deutsche Apotheken wieder digitale Impfzertifikate ausstellen können. Dies gaben der Deutsche Apothekerverband (DAV) und das Bundesgesundheitsministerium (BMG) am Freitag in einem gemeinsamen Statement bekannt.
"Alle Apotheken, die dies wünschen, erhalten in der nächsten Woche schrittweise wieder Zugriff auf das DAV-Portal, so dass sie auch wieder Impfzertifikate ausstellen können." Nach einer generellen Freigabe des Dienstes klingt das nicht. Zu erwarten ist eher, dass der DAV das Portal erst wieder für die Mitglieder der Landesapothekenverbände freigibt. Die Gastzugänge für Nichtmitglieder werden wohl erst nach vorheriger Überprüfung freigeschaltet.
Bisher können deutsche Apotheken auf die Schnittstelle zur Ausstellung digitaler Impfnachweise ausschließlich über einen vom DAV verwalteten Server zugreifen. Apotheken, die keine Verbandsmitglieder sind, müssen sich für einen Gastzugang registrieren.
DAV winkt Fake-Apotheke durch
Hier hatten zwei Sicherheitsforscher den Hebel angesetzt: Sie hatten sich eine Apotheke ausgedacht, mit einfachen Mitteln die vom DAV verlangten Dokumente nachgemacht und trotz ihrer primitiven Fälschung sofort einen Zugang erhalten. Über diesen konnten sie problemlos zwei gültige Zertifikate auf eine Fantasieperson ausstellen.
Ihren Angriff hatten Martin Tschirsich und Dr. André Zilch absichtlich plump gestaltet. So gaben sie als Anschrift für ihre fiktive "Sonnen-Apotheke" ein Mehrfamilienhaus an und stückelten die Nachweisdokumente aus frei verfügbaren Vorlagen im Internet zusammen. Bei der Erstanmeldung im Portal gaben sie statt einer gültigen Telematik-ID einfach eine beliebige Ziffernfolge mit der benötigten Länge ein.
Das wirft alles kein gutes Licht auf die Sicherheit des DAV-Portals. Hätten die dortigen Verantwortlichen vor dem Versand der Zugangsdaten kurz online nach dem Apothekennamen oder nach der Anschrift gesucht, wäre der Schwindel sofort aufgeflogen. Auch eine Rückfrage beim Nacht- und Notdienstfonds fand offenbar nicht statt.
Genauso leichtsinnig wirkt, dass das Anmeldeformular als "Telematik-ID" eine beliebige Zahlenfolge akzeptierte, statt deren Gültigkeit zu überprüfen oder gar den Namen des ID-Inhabers mit dem der Apotheke abzugleichen.
Apothekerverband zieht die Notbremse – ohne Not
Mit dem Ergebnis der Sicherheitsforscher konfrontiert, reagierte der DAV mit überraschender Konsequenz. Ab Mittwochnachmittag konnten Apotheken ohne Vorwarnung keine Nachweise mehr ausstellen – das Zertifizierungsportal zeigte nur noch eine wenig hilfreiche Fehlermeldung.
Erst am Donnerstag gab der Apothekerverband ein Statement ab, demzufolge das Handelsblatt "mithilfe von professionell gefälschten Dokumenten" einen Gastzugang erzeugt habe. Jetzt wolle man alle Gastzugänge überprüfen, bevor der Server wieder online gehen könne.
Inzwischen hat der DAV die Stellungnahme dahingehend angepasst, dass nun von "unabhängigen IT-Spezialisten" die Rede ist. Von "professionell gefälschten Dokumenten", "deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist", ist jedoch weiterhin die Rede.
Ansonsten versuchte der DAV in seinem Statement jegliche Zweifel an der Sicherheit des Portals zu zerstreuen. Bei Verbandsmitgliedern seien alle Daten im Mitgliederverzeichnis gelistet, weshalb deren Authentifizierung auf dem Portal "jederzeit gewährleistet" sei.
Auch die noch laufende Prüfung der per Gastanschluss angeschlossenen Apotheken habe bisher "keine Hinweise auf andere unberechtigte Zugänge ergeben". Daher gehe der DAV davon aus, dass die bisher in Apotheken ausgestellten 25 Millionen Impfzertifikate "alle von rechtmäßig registrierten Apotheken ausgestellt wurden."
Weshalb der Apothekerverband trotz der Versicherung, das von den Forschern entdeckte Sicherheitsproblem betreffe nur den Gastzugang, auch die Mitglieder der Landesverbände sperrte, bleibt bislang unerklärt.
Wiedereröffnung, obwohl gefälschte Zertifikate im Umlauf sind
Bereits vor einer Woche hatte das Schweizer Infoportal Watson.ch davon berichtet, im digitalen Untergrund werde mit echten deutschen Impfzertifikaten gehandelt. In Messenger-Kanälen werden Zertifikate demnach für 150 bis 300 Euro angeboten. Laut Watson kommt als Quelle der Zertifikate nur das DAV-Portal in Frage.
Jetzt soll dieses Portal also wieder geöffnet werden – obwohl der DAV offenbar immer noch nicht weiß, wer die echten falschen Zertifikate aus dem Untergrund ausstellt. Dem Nachrichtenmagazin Spiegel versicherte eine Sprecherin der Bundesvereinigung Deutscher Apothekerverbände ABDA am Freitag, es seien lediglich "zwei gefälschte Zertifikate" im Umlauf, also der Proof-of-Concept von Tschirsich und Zilch.
So betonen DAV und BMG in ihrem jüngsten Statement auch, die Sicherheitsforscher hätten lediglich auf eine "potentielle Schwachstelle" hingewiesen, von der nur die Gastzugänge betroffen seien. Auch dieses natürlich nur potentiell: "Nach aktuellem Kenntnisstand ist es zu keinem Betrug bei der Erstellung von Impfzertifikaten gekommen." Und dann der Zusatz: "Ein solcher wäre im Übrigen eine Straftat."
Abgesehen davon, dass dies gute Nachrichten für Tschirsich und Zilch sind – offenbar wertet das BMG ihre Aktion weder als Betrug noch als Straftat – bedeutet dies wohl auch, dass das Portal zunächst in genau derselben Form wieder online gehen wird wie vor der Sperrung.
Dem DAV/BMG-Statement zufolge arbeite man zusammen mit IBM und der Gematik daran, die Ausstellung der Impfzertifikate durch Einbindung des Portals "in die sichere Telematikinfrastruktur insgesamt noch weiter zu erhöhen" – eine sinnvolle Maßnahme, die aber längst überfällig ist.
Sollte die angekündigte Einbindung in die Telematik-Infrastruktur nur in einem Abgleich der ID bestehen, könnte dies zur Absicherung nicht ausreichen. Apotheken müssen zum Zugriff auf das Portal bisher nur Benutzername und Passwort angeben – Zugangsdaten, die sich durchaus verselbstständigen können. Eine zusätzliche Zweifaktor-Authentifizierung, die den Missbrauch gestohlener Zugangsdaten unterbinden könnte, scheint der DAV nicht vorzusehen.
