Seite 2: Die Forscher wehren sich

Inhaltsverzeichnis

So verwundert nicht, dass die Sicherheitsforscher Martin Tschirsich und Dr. André Zilch gegenüber dem DAV schwere Vorwürfe erheben. In einem Interview mit der Deutschen Apotheker Zeitung erklären sie zu ihrem Angriff: "Das hätte jeder Siebtklässler hinbekommen."

Zudem seien die Sicherheitslücken dem DAV schon weit vor dem aktuellen Experiment der Sicherheitsforscher bekannt gewesen. "Jeder hat von Anfang an gewusst, dass das DAV-Portal unsicher ist." Vor dem Unterausschuss Pandemie im Bundestag hatten Tschirsich und Zilch bereits vor Wochen vorgetragen, dass gefälschte Zertifikate im Umlauf sind.

Der DAV habe abgewiegelt; man sehe keinen Handlungsbedarf. "Da haben wir beschlossen, dass wir nun mal ganz plakativ zeigen müssen, wie einfach es ist, an einen Zugang zu gelangen." So kam es zur vom Handelsblatt dokumentierten Aktion.

Von der Entscheidung des DAV, den Server sofort zu sperren, halten die Sicherheitsforscher übrigens nichts: "Das Portal abzuschalten und [...] ein Statement zu veröffentlichen, in dem von hoher krimineller Energie die Rede ist, wäre aus unserer Sicht nicht nötig gewesen."

Auch wenn Tschirsich und Zilch die Sperrung aller Apotheken-Zertifikate grundsätzlich weiterhin für die sauberste Lösung halten, findet Zilch es "nicht zielführend, jetzt alle betroffenen digitalen Impfnachweise noch einmal erstellen zu lassen und viel Geld dafür auszugeben."

Stattdessen schlagen die Sicherheitsforscher vor, auf Zeit zu spielen. Wenn die Zertifikatsausstellung bis zum Start der Auffrischimpfungen abgehärtet werde und die bisher ausgestellten Zertifikate ablaufen, werde sich die Situation selbst bereinigen. "Wichtig ist, dass man jetzt die Prozesse sicher macht, damit der Schaden nicht noch größer wird."

Vertrauensentzug in der Schweiz

Mit der vagen Aussicht auf ein besseres Morgen mag sich jedoch nicht jeder abfinden: So unterstützt die Schweizer "Covid App" neben Schweizer und EU-Zertifikaten auch "Light-Zertifikate". Letztere zeichnen sich durch besondere Datensparsamkeit aus, müssen dafür aber alle 48 Stunden neu generiert werden – direkt in der App.

Kurz nach dem ersten Bericht von Watson.ch hat das Schweizer Bundesamt für Informatik und Telekommunikation die Covid App so umgebaut, dass sich aus EU-Zertifikaten keine Schweizer Light-Zertifikate mehr generieren lassen – soviel zur kompletten Kompatibilität.

Tschirsich und Zilch sind in der Schweiz übrigens kein unbeschriebenes Blatt: Im Mai 2021 hatten die beiden das Schweizer Impfportal "meineimpfungen.ch" auf Sicherheitslücken abgeklopft. Das Ergebnis waren derart eklatante Mängel, dass sicherer Betrieb der Plattform als unmöglich angesehen und die Plattform abgeschaltet wurde – auf Dauer.

(bme)