Wie Methoden auf Siebtklässlerniveau den digitalen Impfnachweis ausbremsten

Viele hatten gezweifelt, ob die EU ihre digitalen COVID-Zertifikate innerhalb des gesetzten Zeitrahmens an den Start bekommen würden. Umso stolzer erklärte die EU-Kommission am 1. Juli, alle 22 Mitgliedsstaaten seien erfolgreich an das zentrale Gateway angeschlossen worden. Anfängliche Lücken in der Umsetzung wurden zügig geschlossen – so ließ etwa das digitale Genesenenzertifikat bis zum 9. Juli auf sich warten.

Dann erschien Mitte Juli auf dem Schweizer Nachrichtenportal Watson.ch ein Bericht, wonach in einschlägigen Messenger-Kanälen digitale Impfzertifikate zum Kauf angeboten wurden, zu Preisen von bis zu 300 Euro. Als Zertifikatquelle vermutete man ein Webportal, das der Deutsche Apothekerverband (DAV) betrieb. Seit das Portal Mitte Juni online ging, haben die 17.900 angeschlossenen deutschen Apotheken über 25 Millionen Zertifikate ausgestellt, wobei jede vollständige mRNA-Impfung zwei Zertifikate umfasst.

Die Sicherheitsforscher Martin Tschirsich und Dr. André Zilch wollten der Sache nachgehen und beantragten beim DAV einen „Gastzugang“ zum Zugriff auf den Impfnachweis-Server. Hierfür dachten sie sich eine „Sonnen-Apotheke“ aus, deren Anschrift ein Mehrfamilienhaus war, und legten plumpe Fälschungen der geforderten Nachweise bei. Die Gastzugänge hatte der DAV auf Druck des Bundesgesundheitsministeriums (BMG) für Apotheken eingerichtet, die keine Verbandsmitglieder waren. DAV-Angaben zufolge hatten zuletzt etwa 470 Apotheken einen Gastzugang erhalten.

Bundesweite Sperren

Hätte der DAV auch nur eine der von den Sicherheitsforschern erflunkerten Angaben überprüft, wäre der Schwindel sofort aufgeflogen. Stattdessen erhielten sie prompt einen Brief mit Zugangsdaten, mit denen sie sich im Portal registrierten. Dort versagte auch die letzte Sicherheitsschranke: Anstelle einer gültigen Telematik-ID, mit der sich Apotheken bei der telematischen Infrastruktur anmelden, akzeptierte der Server eine beliebige 19-stellige Zahl. Ungehindert stellten Tschirsich und Zilch zwei Zertifikate aus, die jede Überprüfung bestanden, und konfrontierten den DAV mit ihren Ergebnissen.

Ohne jede Vorwarnung zog der Apothekerverband die Notbremse und nahm den gesamten Server vom Netz. Am Nachmittag des 21. Juli konnte keine Apotheke mehr Zertifikate ausstellen. Die in den Augen der Forscher überhastete und unnötige Sperrung erfolgte deutschlandweit und betraf Verbandsmitglieder des DAV wie Gastzugänge gleichermaßen.

Am 22. Juli veröffentlichte DAV ein Statement, demzufolge ungenannte IT-Spezialisten „mithilfe von professionell gefälschten Dokumenten“ einen Gastzugang „erzeugen konnten“. Die Erstellung eines solchen Zugangs sei „in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar“.

Schon am Tag drauf konterte Martin Tschirsich in einem Interview mit der Deutschen Apotheker Zeitung trocken: „Das hätte jeder Siebtklässler hinbekommen. Das Aufwendigste war eine Google-Suche mit den Stichwörtern Betriebserlaubnis und Apotheke.“ Das für 2,7 Millionen Euro im Auftrag des BMG von IBM Deutschland, Ubirch, Govdigital und Bechtle unter der Aufsicht des Robert-Koch-Instituts entwickelte System ließ sich demnach mit Kenntnissen eines Mittelstufenschülers unterwandern.

Umzugsprobleme

Am selben Tag versprach der DAV den Apotheken, den Betrieb des Zertifikatsportals „in der nächsten Woche“ wieder aufzunehmen. Drei Tage verstrichen, dann meldete der DAV tatsächlich Vollzug. Nur: Statt das bisherige Portal wiederzueröffnen, war ein neuer Server aufgesetzt worden.

Damit nicht genug: Das neue Impfportal ist nur noch über die Telematikinfrastruktur (TI) erreichbar. Dieses abgesicherte E-Health-VPN lässt sich nur über spezielle Konnektoren ansteuern, deren Routing zum Zugriff auf den neuen Server erst einmal angepasst werden musste. Dies mussten im Regelfall die IT-Systemhäuser übernehmen, die den Apotheken den TI-Zugang gelegt hatten, unter maximalem Zeitdruck.

Seit dem 29. Juli greifen die deutschen Apotheken schrittweise auf das neue Portal zur Ausstellung digitaler Impf- und Genesungsnachweise zu. Dabei knirschte es von Anfang an heftig im Gebälk. Mal fiel der Server aus, mal brach die abgesicherte Verbindung ab, mal streikte das Online-Formular. Mit ähnlichen Startschwierigkeiten hatten Apotheker schon bei der Inbetriebnahme des alten Portals gekämpft, nur waren die Probleme diesmal schwerwiegender und die Apotheken gereizter. Pharmazeuten tauschten Tipps per Social Media aus, um überhaupt Zertifikate abrufen zu können.

Parallel zur Hauruckaktion mit dem neuen Server überprüfte der DAV alle Gastzugänge auf weitere Fake-Apotheken. Diese Suche verlief, wie der DAV gegenüber c’t bestätigte, erfolglos: Abgesehen von der Sonnen-Apotheke der Sicherheitsforscher „wurden keine unrechtmäßigen Zugriffe festgestellt.“ Die Zertifikate aus dem digitalen Untergrund müssen also einen anderen Ursprung haben. Denkbare Szenarien schließen eine amoklaufende Querdenker-Apotheke, geklaute Zugangsdaten oder auch Bestechung ein. Wie Watson.ch berichtet, hat das BMG inzwischen das Bundeskriminalamt (BKA) eingeschaltet, um der illegalen Quelle auf die Spur zu kommen.

Neue EU-Regeln

Am 28. Juli veröffentlichte das Robert-Koch-Institut (RKI) die Version 2.6 der Corona-Warn-App (CWA). Abgesehen von QOL-Updates führt die neue Release eine Gültigkeitsüberprüfung ein, ob in der App gespeicherte Zertifikate den Anforderungen eines Ziellands genügen. Hierfür greift die CWA auf eine Liste an Regeln zurück. Bisher haben sieben Länder eigene Regeln hinterlegt (Regelzahl in Klammern): Deutschland (4), Irland (9), Litauen (5), Luxemburg (3), Niederlande (6), Slowenien (4) und Spanien (2). Weitere Staaten sollen in den folgenden Wochen folgen.

Die Gültigkeitsprüfung erfolgt nicht etwa automatisch, sondern muss per Hand angestoßen werden. Die CWA empfiehlt, die Zertifikate frühestens zwei Tage vor der Abreise auf Kompatibilität zum Zielland zu überprüfen. Im Selbsttest von c’t erfüllten zwei vollständige Impfzertifikatpaare – eins aus dem Impfzentrum, das andere aus der Apotheke – die Regeln fast aller Länder. Nur bei den Niederlanden zeigte die CWA beharrlich „Zertifikat nicht prüfbar“ und monierte Verstöße gegen fünf der sechs definierten Regeln.

Fake-Zertifikate für jeden

Richtig ernst darf man die von der CWA getroffenen Aussagen zur Gültigkeit der Zertifikate allerdings nicht nehmen. Zu Testzwecken ausgestellte Beispielzertifikate zeigt die App wie echte Nachweise an – und das schon seit Wochen.

Prinzipiell kann sich jeder über einen öffentlich erreichbaren Webserver ein Testzertifikat mit beliebigem Namen, Geburtsdatum und Impftermin generieren und in die CWA laden: In der App ist ein solches Fake-Zertifikat nicht von einem echten Nachweis zu unterscheiden.

Wer genau liest, findet in der CWA auch einen entsprechenden Hinweis, gut versteckt in den Erklärungen zur Gültigkeitsprüfung: „Um die Echtheit eines Zertifikats sicherzustellen, wird jedes Zertifikat mit einer digitalen Signatur ausgestellt. Diese Signatur wird nur in einer Prüf-Anwendung validiert.“ Das Verhalten ist also kein Unfall, sondern by design.

Der Zertifikatsspeicher CovPass und die Verifizierungs-App CovPass Check erkennen sofort, dass die Signatur nicht gilt. In den Augen der CWA ist an den Testzertifikaten jedoch nichts zu beanstanden, sie passieren dort auch den Gültigkeitstest.

Unzureichende Kontrollen

Sicherheitstechnisch ist am Verhalten der CWA nichts auszusetzen – es ist ja sogar dokumentiert. Zum Problem wird es erst dadurch, dass die Verifikation der digitalen Nachweise viel zu häufig nur aus einer Sichtkontrolle des Zertifikats besteht. Dies soll sogar auf Flughäfen vorkommen.

Mindestens dort müsste es eine klare Ansage geben: Zur Verifikation eines digitalen Zertifikats gehört neben dem Abgleich mit einem Lichtbildausweis zwingend die Gültigkeitskontrolle durch eine qualifizierte Instanz wie CovPass Check. Alles andere ist reines Security-Theater. Das mag zwar modern aussehen und bequem sein, bietet aber keinerlei realen Sicherheitsgewinn.

Solange sich an der gelebten Realität nichts ändert, können Ungeimpfte weiterhin unerkannt an Veranstaltungen teilnehmen, die eigentlich einen Drei-G-Nachweis (geimpft, genesen, getestet) voraussetzen – zu ihrer eigenen Sicherheit übrigens.

Beim aktuellen Stand der Dinge hätte sich nicht nur der DAV den aufwendigen Umzug seines Impfnachweis-Portals sparen können, sondern auch die EU den ganzen Aufwand mit den Schlüsseln und Zertifikaten. Einen schönen QR-Code mit beliebigem Inhalt generieren, das schafft tatsächlich jeder Siebtklässler. (hag@ct.de)