Apotheken: Wie Sicherheitsforscher das Impfzertifikats-Portal kompromittierten
Ăśber eine erfundene Apotheke verschafften sich Sicherheitsforscher einen Zugang zum Portal zur Ausstellung digitaler Impf- und Genesenenzertifikate
Schon seit Monaten wird gemutmaßt, dass es mit der Sicherheit des digitalen Impfzertifikats nicht weit her sei. Vergangene Woche berichtete das Schweizer Portal Watson.ch, dunkle Kanäle würden für ca. 140 Euro gefälschte EU-Impfzertifikate aus deutscher Quelle anbieten.
Nur wenige Hürden für Fälscher
Sofort wies der Deutsche Apothekerverband (DAV) alle Zweifel an der Sicherheit der Zertifikatsausstellung zurück: "Wir haben bislang keinerlei Hinweise, dass in deutschen Apotheken Impfzertifikate ohne das Vorliegen der entsprechenden Rechtsgrundlage erstellt worden sein könnten."
Jetzt haben die Sicherheitsexperten André Zilch und Martin Tschirsich bewiesen, dass für einen derartigen Missbrauch nur wenige Hürden zu nehmen sind.
In Folge des Hacks hat der Apothekerverband das Portal zur Zertifikatsausstellung bis auf Weiteres offline genommen – Wiedereröffnungstermin unbekannt.
Sonnige Fake-Apotheke bekommt echten Zugang
Wie das Handelsblatt berichtete, haben die Sicherheitsforscher sich eine "Sonnen-Apotheke" ausgedacht. Im Anmeldeformular zur Nutzung des DAV-Portals gaben sie als Anschrift der Apotheke ein Mehrfamilienhaus in Darmstadt an.
Die beiden zur Anmeldung nötigen Bestätigungen konnten die Sicherheitsforscher leicht fälschen: Für die Betriebserlaubnis manipulierten sie per Bildverarbeitung ein echtes Dokument – offenbar stellen viele Apotheken ihre jeweilige Betriebserlaubnis im Internet bereit. Der Bescheid des Nacht- und Notdienstfonds entstand auf Basis von allgemein zugänglichen Informationen im Internet und Nachfragen bei einem benachbarten Apotheker.
Nach zwei Tagen erhielten die Sicherheitsforscher per Post einen Registrierungscode zur Anmeldung. Als das Portal noch eine Telematik-ID abfragte, gaben sie zufällig gewählte Ziffern ein.
Damit war der Weg frei, um eigene Zertifikate mit beliebigen Namen und Impfterminen zu erstellen. Als Beweis stellten Tschirsich und Zilch erfolgreich ein Zertifikatspaar aus, das die offizielle ĂśberprĂĽfungs-App CovPass Check des Robert-Koch-Instituts anstandslos akzeptiert hat.
Der DAV nimmt Zertifikatsserver vom Netz
Daraufhin kontaktierten die Sicherheitsforscher den DAV, der den Zertifikatsserver nach Rücksprache beim Bundesgesundheitsministerium am Mittwochnachmittag bis auf Weiteres offline nahm. Seitdem können deutsche Apotheken bundesweit keine digitalen Impf- oder Genesenenzertifikate mehr ausstellen.
In einem offiziellen Statement zeigte sich der DAV bestürzt: Das Handelsblatt habe mit "professionell gefälschten Dokumenten" einen Gastzugang erzeugt. Einen Gastzugang müssen Apotheken benutzen, die keine Mitglieder in einem der Landesapothekerverbände sind. Dem DAV zufolge werden die Gastzugänge mehrfach pro Woche überprüft.
Anlässlich der Meldung des Handelsblatts werde der DAV jetzt eine zusätzliche Prüfung vornehmen: "Diese hat bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben, deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist."
Stimmen die Informationen von Watson.ch, dürfte es unter den 17.900 für das Portal registrierten Apotheken noch mindestens ein weiteres faules Ei geben. Der Umstand, dass der DAV nicht nur die Gastzugänge abgeschaltet hat, sondern gleich den ganzen Server, lässt auf nichts Gutes hoffen.
Sicherheit welcher Klasse
In jedem Fall gelang es den Sicherheitsforschern mit erschreckend wenig Aufwand, den DAV zu ĂĽberlisten. Nach dem Upload des Antrags auf einen Gastzugang an einem Sonntagabend erhielten die Forscher schon um 9:50 des darauffolgenden Montagmorgens die Nachricht, die Unterlagen seien "erfolgreich geprĂĽft" worden.
Bei seiner "Überprüfung" scheint der DAV nicht einmal einen Kartendienst oder ein Telefonverzeichnis bemüht zu haben – sonst wäre vermutlich schnell aufgeflogen, dass an der angeblichen Adresse keine Apotheke mit dem angegebenen Namen existiert.
Die Fälschung der geforderten Belege war offenbar geradezu trivial. Für die Betriebserlaubnis gab es genügend Vorlagen im Netz. Bei den Bescheiden des Nacht- und Notdienstfonds handele es sich "um einen einfachen Brief ohne Sicherheitsmerkmale", der sich leicht nachbauen ließ.
Auch dass Tschirsich und Zilch bei der Erstregistrierung im Pflichtfeld für die Telematik-ID "19 beliebige Ziffern" eingeben konnten, wirft kein gutes Licht auf das Sicherheitsverständnis des DAV. Entweder hatten die Sicherheitsforscher außerordentliches Glück, eine real existierende ID zu erwischen, oder es fehlt auch hier an grundlegenden Verifizierungsschritten.
Quo vadis, digitales Impfzertifikat
Bestehende Zertifikate sind von der Sperrung des DAV-Servers zunächst nicht betroffen, da dieser ja nur ein Portal für die vom Robert-Koch-Institut bereitgestellten Infrastruktur war. Impfzentren sollten weiterhin Impf- und Genesungszertifikate ausstellen können, ebenso wie Arztpraxen, sofern sie zur Ausstellung ihrer Zertifikate nicht das DAV-Portal verwenden.
Dem Apothekerverband zufolge wurden über das DAV-Portal inzwischen 25 Millionen Zertifikate ausgestellt. Aufgrund der für das EU COVID-19 Vaccination Certificate gewählten Architektur lassen sich Zertifikate nicht einzeln zurückziehen. Möglich wäre allenfalls die Rücknahme des von den Apotheken genutzten Schlüssels, womit alle dort ausgestellten Zertifikate auf einen Schlag ihre Gültigkeit verlören.
Darüber ist sich auch André Zilch im Klaren, einer der beiden Sicherheitsforscher. Gegenüber dem Handelsblatt erklärte er: "Die einzige ehrliche Lösung wäre, die Millionen von Impfnachweisen, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären".
(mho)