Apotheken kämpfen mit digitalen Impfzertifikaten, Sperrungen per Blacklist

Zwei Drittel der Apotheken sind an das neue Impfnachweis-Portal angeschlossen. Die Suche nach der Quelle illegaler Zertifikate geht weiter: Das BKA ermittelt.

In Pocket speichern vorlesen Druckansicht 70 Kommentare lesen
Person mit Reisepass und digitalem Impfnachweis in einer Smartphone-App wartet auf dem Flughafen.

(Bild: Shutterstock.com/ronstik)

Update
Lesezeit: 6 Min.
Von
  • Gerald Himmelein
Inhaltsverzeichnis

Seit Donnerstag können deutsche Apotheken nach und nach wieder auf das Online-Portal zur Erstellung digitaler Impfnachweise zugreifen. Im Prinzip zumindest: Mehrere brancheninterne Online-Portale berichten übereinstimmend, dass es bei der Zertifikatsausstellung vermehrt zu Fehlermeldungen und Verbindungsabbrüche kommt. Nach der Ursache wird noch gesucht.

Insbesondere zu Stoßzeiten häufen sich die Probleme mit dem vom Deutschen Apothekerverband (DAV) betriebenen Server. Statt den alten Dienst wiederaufzunehmen, hatten das Bundesgesundheitsministerium (BMG) und der DAV einen neuen Server aufgesetzt, der nur noch über die Telematikinfrastruktur (TI) erreichbar ist.

Apotheker tauschen in Social-Media-Kanälen zwischenzeitlich Tipps aus, um die Probleme mit dem Portal zu umgehen – unter anderem durch das absichtliche Weglassen wesentlicher Daten, was den Server wohl zu einem Reset des Formulars zwingt.

Einer Stichprobe zufolge sind immerhin 70 Prozent der zuvor registrierten Apotheken wieder angeschlossen. Hierfür musste jeder Telematik-Konnektor einzeln umgestellt werden. Darum kümmern sich im Regelfall dieselben IT-Dienstleister, die auch den Anschluss an die TI umgesetzt haben.

Anlass für die Sperrung des DAV-Portals und dessen Verpflanzung in die TI war ein Bericht im Handelsblatt. Die Sicherheitsforscher Martin Tschirsich und André Zilch hatten dem DAV eine Fake-Apotheke untergeschoben und in deren Namen zwei gültige Zertifikate ausgestellt.

Zuvor hatten die Forscher Hinweise erhalten, dass in einschlägigen Messenger-Kanälen digitale Impfzertifikate für dreistellige Beträge zum Kauf angeboten wurden. Als Quelle für diese Zertifikate wurde das Apotheken-Portal vermutet.

Bei der Freischaltung ihres Zugangs stießen die Sicherheitsexperten auf keinen nennenswerten Widerstand: Im Zuge seiner "Überprüfung" fiel dem DAV weder auf, dass es im angegebenen Ort keine Apotheke dieses Namens gab, noch dass deren Adresse ein Mehrfamilienhaus war, noch dass die Betriebsnachweise bewusst plumpe Fälschungen waren.

Als das Portal zur Registrierung eine Telematik-ID abfragte, reichte die Eingabe einer beliebigen 19-stelligen Zahl. "Das hätte jeder Siebtklässler hinbekommen", konstatierte Tschirsich gegenüber der Deutschen Apotheker Zeitung.

[Update 04.08.2021 16.55 Uhr] Die von Tschirsich und Zilch ausgestellten Zertifikate sollen jetzt auf App-Ebene gesperrt werden, wie der DAV gegenüber heise online bestätigte. Eine Rücknahme ausgestellter Zertifikate und Schlüssel sieht der EU-Standard für das COVID-19 Vaccination Certificate bereits vor.

Eine Sperrung über den Zertifikatsschlüssel wäre zwar technisch möglich. Da alle Apotheken aber denselben Schlüssel verwenden, würden dabei schlagartig ca. 25 Millionen Zertifikate verfallen. So viele Impfnachweise haben die deutschen Apotheken bisher über das DAV-Portal verarbeitet.

Die Spezifikation zum EU-Zertifikat sieht allerdings die Option vor, dass Zertifikataussteller wie das Robert-Koch-Institut (RKI) Widerrufslisten für einzelne Zertifikate bereitstellen. Auch eine Online-Abfrage des Gültigkeitsstatus ist möglich (Online Certificate Status Responder).

Die ungültigen Zertifikate werden anhand ihrer Unique Certificate Identification (CI) ausgemustert. Die Zertifikate der Sicherheitsforscher sollen die Corona-Warn-App (CWA), der Zertifikatsspeicher CovPass und die Prüf-App CovPass Check bereits als ungültig erkennen. Es bleibt abzuwarten, wie die CI-Sperrlisten an die anderen am EU Digital COVID Certificate teilnehmenden Staaten weitergeleitet werden – die Ausstellung der Widerrufslisten ist aktuell noch optional.

Zugleich erhielt die CWA ein Update auf die Revision 2.6, das länderspezifische COVID-Regelungen auswertet. Bisher haben Deutschland (4), Irland (9), Litauen (5), Luxemburg (3), die Niederlande (5), Slowenien (4) und Spanien (2) eigene Regeln hinterlegt – die Zahlen in Klammern stehen für die jeweilige Anzahl der Regeln.

Die Regelüberprüfung findet derzeit nicht automatisch statt, sondern muss von Hand angestoßen werden. Die Entwickler der CWA empfehlen, eine Überprüfung maximal zwei Tage vor der Abreise in das Zielland vorzunehmen. Unter jedem Zertifikat befindet sich jetzt eine Schaltfläche "Gültigkeit prüfen." Diese führt zur Auswahl von Zielland und Zeitpunkt der geplanten Reise. Ein Druck auf "Prüfen" führt zum Ergebnis.

Im Selbsttest zeigte die App für sechs der sieben Länder das Ergebnis "Gültiges Zertifikat". Bei den Niederlanden scheiterte die Überprüfung hingegen mit der Meldung "Zertifikat nicht prüfbar", gefolgt von einer sechsteiligen Mängelliste. Dies konnte heise online am 2. und 3. August mit mehreren Zertifikaten reproduzieren, sowohl unter Android als auch iOS, mit Zertifikaten aus der Apotheke ebenso wie aus dem Impfzentrum.

Moniert wurde schlicht alles: Erreger, Impfstoff, Anzahl der Dosen, mit Verweisen auf fünf unterschiedliche Regel-IDs. Mutmaßlich handelt es sich dabei um eine Panne bei der Regeldefinition.

Die Corona-Warn-App prüft eingepflegte Zertifikate jetzt auch auf ihre Gültigkeit in Reisezielen. Das geht allerdings nicht immer gut.

(Bild: Gerald Himmelein (Screenshot))

Wie der DAV gegenüber heise online bestätigte, wurde die Überprüfung aller suspekten "Gastzugänge" zum inzwischen stillgelegten Impfnachweis-Portal inzwischen abgeschlossen. Über einen Zugang dieses Typs hatten sich Tschirsich und Zilch ihre Zertifikate erschlichen.

Der DAV weiter: "Außer der einen Fake-Apotheke, die zwei Zertifikate unrechtmäßig ausgestellt hat und über die das Handelsblatt berichtet hat, wurden keine unrechtmäßigen Zugriffe festgestellt." Sprich: Die Quelle für die im digitalen Untergrund gehandelten Zertifikate bleibt weiterhin unbekannt.

Um Licht in das Dunkel zu bringen, soll "das Bundeskriminalamt (BKA) und andere zuständige Behörden eingeschaltet" worden sein. Dies berichtet das Schweizer Online-Magazin Watson.ch, dessen Berichterstattung über die illegalen Zertifikate Mitte Juli das Thema erstmals an die Öffentlichkeit brachte.

Rückblickend hat die anderthalb Wochen lange Sperrung des Apotheken-Portals also keinen Erkenntnisgewinn mit sich gebracht. Ob der Umzug des DAV-Servers hinter die TI-Mauer den Fälschungen einen Riegel vorschieben kann, bleibt abzuwarten.

(olb)