Durch eine Sicherheitslücke bei den Gastzugängen für Apotheken zur Ausgabe des digitalen Impfpasses, mussten diese jetzt gesperrt werden. Betroffen von dieser Maßnahmen sind lediglich die Apotheken, Impfzentren und Hausärzte sind ausgenommen.
Ausgabe digitaler Impfnachweise gestoppt
Informationen zufolge soll es möglich sein, sich mittels gefälschter Dokumente über den Gastzugang einen Zugang zum System zu verschaffen. Daraufhin hat der DAV (Deutscher Apothekenverband) die Ausgabe für den digitalen Impfnachweis erst einmal geblockt. Dazu hieß es weiter: „Wann die Ausstellung von Zertifikaten wieder aufgenommen wird, steht noch nicht fest, der DAV befindet sich im engen Austausch mit dem Bundesgesundheitsministerium“.
Zu Beginn der Einführung des digitalen Impfnachweises war ein Zugang zum Portal nur für solche Apotheken gedacht, welche Mitglieder in den Landesapothekenverbänden sind. Hier sind die Daten im Mitgliederverzeichnis hinterlegt und die Authentifizierung kann so zweifelsfrei gewährleistet werden. Wettbewerbsgründe erforderten dann allerdings einen weiteren Zugang für Apotheken, welche eben nicht in den Landesverbänden sind. Insgesamt sind dies bei den 17.900 Apotheken 470, diese sollten zumindest einen Gastzugang zum Portal erhalten.
Und genau dieser Gastzugang hat eine Sicherheitslücke. So konnte das Handelsblatt mittels gefälschter Papiere einen Gastzugang für eine nicht vorhandene Apotheke erhalten. „Dazu wurden eine gefälschte Betriebserlaubnis und ein gefälschter Bescheid des Nacht- und Notdienstfonds vorgelegt. Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt“. Daraufhin wurde mit dem Bundesgesundheitsministerium gesprochen und die Ausgabe von Impfnachweisen durch Apotheken zunächst unterbrochen.
Aufgedeckt wurde die Sicherheitslücke von den Sicherheitsexperten Martin Tschirsich und Andre Zilch. Nach der Ansicht der Experten, bietet das Portal auch für die anmeldeten Apotheken keine hundertprozentige Sicherheit. Kriminelle könnten sich auch die Daten für die Anmeldung von einer echten Apotheke beschafft haben. Abgesehen davon können auch die bereits ausgegeben Impfnachweise nicht mehr gesperrt werden. Die Sicherheitsexperten sehen es folgendermaßen: „Die einzig ehrliche Lösung wäre, die 25 Millionen Impfnachweise, die über das DAV-Portal angestellt wurden, allesamt für ungültig zu erklären“. Ein solches Vorgehen ist aber nicht sehr wahrscheinlich, da die Kosten hierfür viel zu hoch sind.
Keine weiteren unberechtigten Zugänge
Hinweise dafür, das es unberechtigte Zugänge gibt, wurden bei einer Untersuchung nicht festgestellt. Man gehe daher davon aus, dass die bereits ausgestellten Impfzertifikate von rechtmäßig zertifizierten Apotheken ausgestellt worden. Insgesamt wurden seit Mitte Juni diesen Jahres mehr als 25 Millionen Zertifikate ausgegeben und das nur über die Apotheken.
Impfnachweise im Darknet erhältlich
Das Schweizer Magazin Watson berichtete allerdings, dass im Darknet schon gefälschte Impfnachweise aus Deutschland zu haben sind. Dabei haben diese ein korrektes digitales Zertifikat, fraglich ist also, wo kommen diese her. Der Erwerb eines solchen Zertifikats läuft dann einfach über einen Messenger mit Ende-zu-Ende-Verschlüsselung. Bezahlt wird in Kryptowährung, damit der Verkäufer anonym bleiben kann. Ein solcher Nachweis wird im Moment für umgerechnet ca. 138 Euro gehandelt. Nach der Zahlung erhält der Käufer sein gültiges Covid-Impfzertifikat als PDF-Datei und das innerhalb von nur 30 Minuten. Der Käufer kann hier natürlich nicht anonym bleiben, da für das Zertifikat Name und Geburtsdatum nötig ist. Inwieweit der digitale Impfnachweis geprüft wird, und ob hier überhaupt kontrolliert wird, ist nicht näher bekannt. Allerdings sollen die Zertifikate wohl nur in besonderen Ausnahmefällen geprüft werden. Dafür wird dann die Covpassscheck-App verwendet.
