Wegen Sicherheitslücke Apotheken stoppen Ausstellung von Impfzertifikaten
IT-Spezialisten haben eine gravierende Sicherheitslücke im System zur Ausstellung von Impfzertifikaten entdeckt. Der Apothekerverband hat deshalb die Ausstellung von Impfpässen gestoppt.
Apotheken in ganz Deutschland können seit Mittwoch keine Corona-Impfzertifikate mehr ausstellen. Der Deutsche Apothekerverband (DAV) teilte am Donnerstag mit, dass die Ausstellung von Zertifikaten in Rücksprache mit dem Bundesgesundheitsministerium gestoppt worden sei.
Der Mitteilung zufolge war eine Sicherheitslücke entdeckt worden, die die Erstellung fingierter Impfzertifikate erlaubt. Dem "Handelsblatt" war es demnach gelungen, "mithilfe von professionell gefälschten Dokumenten" auf dem DAV-Server einen Gastzugang für einen nicht existierenden Apothekeninhaber zu erzeugen, mit dem dann zwei Impfzertifikate ausgestellt worden seien.
Apothekerverband: Zugang nur mit erheblichem Aufwand
Bei den gefälschten Dokumenten handelte es sich laut DAV um eine gefälschte Betriebserlaubnis und einen gefälschten Bescheid des Nacht- und Notdienstfonds. Außerdem habe eine 19-stellige "Telematik ID" angegeben werden müssen. Die Angreifer hatten hier eine zufällige Zeichenfolge eingegeben. Ob die ID tatsächlich überprüft wird oder nicht, konnte auf Nachfrage bislang nicht beantwortet werden.
Der Verband betonte, dass der Zugang "in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie" zu erstellen sei. Bis Donnerstagmittag hätten Überprüfungen "keine Hinweise auf andere unberechtigte Zugänge ergeben".
Der DAV erläuterte weiter, dass das Portal zur Ausstellung digitaler Impfzertifikate zu Beginn ausschließlich registrierten Mitgliedern in den Landesapothekerverbänden zur Verfügung gestanden hätte. Nach kurzer Zeit sei dies "aufgrund wettbewerbsrechtlicher Anforderungen" auch Apotheken ermöglicht worden, die nicht Mitglieder in einem Verband sind. Von den knapp 17.900 auf dem Portal registrierten Apotheken seien lediglich drei Prozent bzw. 470 Apotheken über den Gastzugang angeschlossen.
IT-Experten legten Schwachstelle offen
Das "Handelsblatt" teilte auf Anfrage mit, es sei richtig, dass das Blatt eine gravierende Sicherheitslücke bei der Erstellung digitaler Impfnachweise aufgedeckt habe. "Jedoch hat nicht das "Handelsblatt" selbst sich einen Zugang zum System verschafft; zwei IT-Sicherheitsspezialisten haben die Schwachstelle offengelegt und damit demonstriert, dass es bei dem Portal deutliche Mängel gibt", erklärte eine Verlagssprecherin.
Wann die Apotheken wieder Impfzertifikate ausstellen können, steht nach Angaben des DAV noch nicht fest. Auch am Freitag konnte der Verband auf Nachfrage von t-online dazu keine Angaben machen. Aktuell würden die angemeldeten Betriebsstätten einer Überprüfung unterzogen. Es sei gleichwohl davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher ausgestellt worden seien, alle von rechtmäßig registrierten Apotheken stammen.
Falsche Zertifikate können nicht einzeln widerrufen werden
Sollte die Überprüfung tatsächlich zeigen, dass gefälschte Zertifikate in größerem Umfang in Umlauf gebracht wurden, wäre das allerdings ein Problem: Denn einmal erstellte Impfzertifikate lassen sich nicht ändern und können auch nicht einzeln widerrufen werden – das lässt der Aufbau des Systems nicht zu.
Es könne lediglich der von den Apotheken genutzte Schlüssel zur Erstellung der Zertifikate zurückgezogen werden, womit auf einen Schlag alle 25 Millionen bisher ausgestellten Impfzertifikate ihre Gültigkeit verlören.
Hausärzte zur Ausstellung der Zertifikats fragen
Wer jetzt dringend ein digitales Impfzertifikat benötigt, könne seinen Hausarzt fragen, ob er dies anbiete, erklärte Roland Stahl, Sprecher der Kassenärztlichen Bundesvereinigung, gegenüber t-online. Die Hausärzte hätten die Möglichkeit dies entweder über einen Zugang zum System des Robert-Koch Instituts auszustellen oder direkt über Praxisverwaltungssystem (PVS). Da es hier aber über 100 Anbieter solcher PVS gebe, könne nicht mit Sicherheit gesagt werden, ob der eigene Arzt eine Ausstellung bereits anbieten kann. Die Ausstellung sei zudem freiwillig, so Stahl.
- Nachrichtenagentur dpa
- DAV: Statement zur Ausstellung von Impfzertifikaten