zurück zum Artikel

Der Apothekerverband will sein Portal zur Ausstellung digitaler Impfzertifikate wieder in Betrieb nehmen. Die Entdecker der Sicherheitslücke erheben Vorwürfe.

Im Lauf der kommenden Woche sollen deutsche Apotheken wieder digitale Impfzertifikate ausstellen können. Dies gaben der Deutsche Apothekerverband (DAV) und das Bundesgesundheitsministerium (BMG) am Freitag in einem gemeinsamen Statement bekannt.

"Alle Apotheken, die dies wünschen, erhalten in der nächsten Woche schrittweise wieder Zugriff auf das DAV-Portal [1], so dass sie auch wieder Impfzertifikate ausstellen können." Nach einer generellen Freigabe des Dienstes klingt das nicht. Zu erwarten ist eher, dass der DAV das Portal erst wieder für die Mitglieder der Landesapothekenverbände freigibt. Die Gastzugänge für Nichtmitglieder werden wohl erst nach vorheriger Überprüfung freigeschaltet.

Bisher können deutsche Apotheken auf die Schnittstelle zur Ausstellung digitaler Impfnachweise ausschließlich über einen vom DAV verwalteten Server zugreifen. Apotheken, die keine Verbandsmitglieder sind, müssen sich für einen Gastzugang registrieren.

DAV winkt Fake-Apotheke durch

Hier hatten zwei Sicherheitsforscher den Hebel angesetzt [2]: Sie hatten sich eine Apotheke ausgedacht, mit einfachen Mitteln die vom DAV verlangten Dokumente nachgemacht und trotz ihrer primitiven Fälschung sofort einen Zugang erhalten. Über diesen konnten sie problemlos zwei gültige Zertifikate auf eine Fantasieperson ausstellen.

Ihren Angriff hatten Martin Tschirsich und Dr. André Zilch absichtlich plump gestaltet. So gaben sie als Anschrift für ihre fiktive "Sonnen-Apotheke" ein Mehrfamilienhaus an und stückelten die Nachweisdokumente aus frei verfügbaren Vorlagen im Internet zusammen. Bei der Erstanmeldung im Portal gaben sie statt einer gültigen Telematik-ID einfach eine beliebige Ziffernfolge mit der benötigten Länge ein.

Das wirft alles kein gutes Licht auf die Sicherheit des DAV-Portals. Hätten die dortigen Verantwortlichen vor dem Versand der Zugangsdaten kurz online nach dem Apothekennamen oder nach der Anschrift gesucht, wäre der Schwindel sofort aufgeflogen. Auch eine Rückfrage beim Nacht- und Notdienstfonds fand offenbar nicht statt.

Genauso leichtsinnig wirkt, dass das Anmeldeformular als "Telematik-ID" eine beliebige Zahlenfolge akzeptierte, statt deren Gültigkeit zu überprüfen oder gar den Namen des ID-Inhabers mit dem der Apotheke abzugleichen.

Apothekerverband zieht die Notbremse – ohne Not

Mit dem Ergebnis der Sicherheitsforscher konfrontiert, reagierte der DAV mit überraschender Konsequenz. Ab Mittwochnachmittag konnten Apotheken ohne Vorwarnung keine Nachweise mehr ausstellen [3] – das Zertifizierungsportal zeigte nur noch eine wenig hilfreiche Fehlermeldung.

Erst am Donnerstag gab der Apothekerverband ein Statement ab, demzufolge das Handelsblatt "mithilfe von professionell gefälschten Dokumenten" einen Gastzugang erzeugt habe. Jetzt wolle man alle Gastzugänge überprüfen, bevor der Server wieder online gehen könne.

Inzwischen hat der DAV die Stellungnahme dahingehend angepasst, dass nun von "unabhängigen IT-Spezialisten" die Rede [4] ist. Von "professionell gefälschten Dokumenten", "deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist", ist jedoch weiterhin die Rede.

Ansonsten versuchte der DAV in seinem Statement jegliche Zweifel an der Sicherheit des Portals zu zerstreuen. Bei Verbandsmitgliedern seien alle Daten im Mitgliederverzeichnis gelistet, weshalb deren Authentifizierung auf dem Portal "jederzeit gewährleistet" sei.

Auch die noch laufende Prüfung der per Gastanschluss angeschlossenen Apotheken habe bisher "keine Hinweise auf andere unberechtigte Zugänge ergeben". Daher gehe der DAV davon aus, dass die bisher in Apotheken ausgestellten 25 Millionen Impfzertifikate "alle von rechtmäßig registrierten Apotheken ausgestellt wurden."

Weshalb der Apothekerverband trotz der Versicherung, das von den Forschern entdeckte Sicherheitsproblem betreffe nur den Gastzugang, auch die Mitglieder der Landesverbände sperrte, bleibt bislang unerklärt.

Wiedereröffnung, obwohl gefälschte Zertifikate im Umlauf sind

Bereits vor einer Woche hatte das Schweizer Infoportal Watson.ch davon berichtet, im digitalen Untergrund werde mit echten deutschen Impfzertifikaten gehandelt [5]. In Messenger-Kanälen werden Zertifikate demnach für 150 bis 300 Euro angeboten. Laut Watson kommt als Quelle der Zertifikate nur das DAV-Portal in Frage.

Jetzt soll dieses Portal also wieder geöffnet werden – obwohl der DAV offenbar immer noch nicht weiß, wer die echten falschen Zertifikate aus dem Untergrund ausstellt. Dem Nachrichtenmagazin Spiegel versicherte eine Sprecherin der Bundesvereinigung Deutscher Apothekerverbände ABDA am Freitag, es seien lediglich "zwei gefälschte Zertifikate" im Umlauf [6], also der Proof-of-Concept von Tschirsich und Zilch.

So betonen DAV und BMG in ihrem jüngsten Statement auch, die Sicherheitsforscher hätten lediglich auf eine "potentielle Schwachstelle" hingewiesen, von der nur die Gastzugänge betroffen seien. Auch dieses natürlich nur potentiell: "Nach aktuellem Kenntnisstand ist es zu keinem Betrug bei der Erstellung von Impfzertifikaten gekommen." Und dann der Zusatz: "Ein solcher wäre im Übrigen eine Straftat."

Abgesehen davon, dass dies gute Nachrichten für Tschirsich und Zilch sind – offenbar wertet das BMG ihre Aktion weder als Betrug noch als Straftat – bedeutet dies wohl auch, dass das Portal zunächst in genau derselben Form wieder online gehen wird wie vor der Sperrung.

Dem DAV/BMG-Statement zufolge arbeite man zusammen mit IBM und der Gematik daran, die Ausstellung der Impfzertifikate durch Einbindung des Portals "in die sichere Telematikinfrastruktur insgesamt noch weiter zu erhöhen" – eine sinnvolle Maßnahme, die aber längst überfällig ist.

Sollte die angekündigte Einbindung in die Telematik-Infrastruktur nur in einem Abgleich der ID bestehen, könnte dies zur Absicherung nicht ausreichen. Apotheken müssen zum Zugriff auf das Portal bisher nur Benutzername und Passwort angeben – Zugangsdaten, die sich durchaus verselbstständigen können. Eine zusätzliche Zweifaktor-Authentifizierung, die den Missbrauch gestohlener Zugangsdaten unterbinden könnte, scheint der DAV nicht vorzusehen.

Die Forscher wehren sich

So verwundert nicht, dass die Sicherheitsforscher Martin Tschirsich und Dr. André Zilch gegenüber dem DAV schwere Vorwürfe erheben. In einem Interview mit der Deutschen Apotheker Zeitung [7] erklären sie zu ihrem Angriff: "Das hätte jeder Siebtklässler hinbekommen."

Zudem seien die Sicherheitslücken dem DAV schon weit vor dem aktuellen Experiment der Sicherheitsforscher bekannt gewesen. "Jeder hat von Anfang an gewusst, dass das DAV-Portal unsicher ist." Vor dem Unterausschuss Pandemie im Bundestag hatten Tschirsich und Zilch bereits vor Wochen vorgetragen, dass gefälschte Zertifikate im Umlauf sind.

Der DAV habe abgewiegelt; man sehe keinen Handlungsbedarf. "Da haben wir beschlossen, dass wir nun mal ganz plakativ zeigen müssen, wie einfach es ist, an einen Zugang zu gelangen." So kam es zur vom Handelsblatt dokumentierten Aktion.

Von der Entscheidung des DAV, den Server sofort zu sperren, halten die Sicherheitsforscher übrigens nichts: "Das Portal abzuschalten und [...] ein Statement zu veröffentlichen, in dem von hoher krimineller Energie die Rede ist, wäre aus unserer Sicht nicht nötig gewesen."

Auch wenn Tschirsich und Zilch die Sperrung aller Apotheken-Zertifikate grundsätzlich weiterhin für die sauberste Lösung halten, findet Zilch es "nicht zielführend, jetzt alle betroffenen digitalen Impfnachweise noch einmal erstellen zu lassen und viel Geld dafür auszugeben."

Stattdessen schlagen die Sicherheitsforscher vor, auf Zeit zu spielen. Wenn die Zertifikatsausstellung bis zum Start der Auffrischimpfungen abgehärtet werde und die bisher ausgestellten Zertifikate ablaufen, werde sich die Situation selbst bereinigen. "Wichtig ist, dass man jetzt die Prozesse sicher macht, damit der Schaden nicht noch größer wird."

Vertrauensentzug in der Schweiz

Mit der vagen Aussicht auf ein besseres Morgen mag sich jedoch nicht jeder abfinden: So unterstützt die Schweizer "Covid App" neben Schweizer und EU-Zertifikaten auch "Light-Zertifikate [8]". Letztere zeichnen sich durch besondere Datensparsamkeit aus, müssen dafür aber alle 48 Stunden neu generiert werden – direkt in der App.

Kurz nach dem ersten Bericht von Watson.ch hat das Schweizer Bundesamt für Informatik und Telekommunikation die Covid App so umgebaut, dass sich aus EU-Zertifikaten keine Schweizer Light-Zertifikate [9] mehr generieren lassen – soviel zur kompletten Kompatibilität.

Tschirsich und Zilch sind in der Schweiz übrigens kein unbeschriebenes Blatt: Im Mai 2021 hatten die beiden das Schweizer Impfportal "meineimpfungen.ch" auf Sicherheitslücken abgeklopft [10]. Das Ergebnis waren derart eklatante Mängel, dass sicherer Betrieb der Plattform als unmöglich angesehen und die Plattform abgeschaltet wurde – auf Dauer.

(bme [11])

URL dieses Artikels:
https://www.heise.de/-6146847

Links in diesem Artikel:
[1] https://www.abda.de/aktuelles-und-presse/newsroom/detail/impfzertifikate-wieder-schrittweiser-zugriff-auf-dav-portal/
[2] https://www.heise.de/news/Apotheken-Wie-Sicherheitsforscher-das-Impfzertifikats-Portal-kompromittierten-6145902.html
[3] https://www.heise.de/news/Portal-gesperrt-Apotheken-koennen-keine-COVID-Impfzertifikate-mehr-ausstellen-6145794.html
[4] https://www.abda.de/aktuelles-und-presse/newsroom/detail/statement-zur-ausstellung-von-impfzertifikaten/
[5] https://www.watson.ch/!415411878
[6] https://www.spiegel.de/netzwelt/corona-warum-apotheken-gerade-keine-impfzertifikate-mehr-ausstellen-a-c942f290-0e91-4151-b44a-2d335bf5f695
[7] https://www.deutsche-apotheker-zeitung.de/news/artikel/2021/07/23/das-zertifikate-modul-zu-sperren-war-allein-die-entscheidung-des-dav
[8] https://www.watson.ch/!511871033
[9] https://www.watson.ch/!948202226
[10] https://www.heise.de/news/Schweizer-Farce-Digitaler-Impfausweis-scheitert-in-Skandal-6047902.html
[11] mailto:bme@heise.de

Copyright © 2021 Heise Medien