Apotheken: Aktuell keine digitalen Impfnachweise
Gegen Vorlage des Impfasses konnte man in Apotheken einen digitalen Impfnachweis bekommen. Die Server sind derzeit abgeschaltet.
Foto: Picture-Alliance / dpa
Corona: Sinkende Inzidenzwerte und steigende Impfquoten bringen so langsam etwas "Normalität" zurück, wenn man überhaupt noch von "Normalität" sprechen kann. Wer zweimal geimpft wurde und deswegen die notwendigen Einträge und Stempel in seinem Impfpass erhalten hat, konnte sich anschließend in einer naheliegenden Apotheke die notwendigen QR-Codes auszustellen lassen, die man dann in der Corona Warn- oder der Covpass-App einlesen kann. Wer heute in einer Apotheke danach fragt, wird auf Kopfschütteln stoßen, denn das Portal des Deutschen Apotheker-Verbandes wurde kurzfristig abgeschaltet.
Digitale Sicherheitslücke
Gegen Vorlage des Impfasses konnte man in Apotheken einen digitalen Impfnachweis bekommen. Die Server sind derzeit abgeschaltet.
Foto: Picture-Alliance / dpa
Offenbar weist der offizielle deutsche Impfnachweis eine gravierende Sicherheitslücke auf, wie zwei IT-Sicherheitsspezialisten der in Düsseldorf erscheinenden Wirtschaftszeitung Handelsblatt bestätigt haben. Ihnen ist es gelungen, innerhalb von 48 Stunden unbemerkt auf das Impfnachweis-Portal der Apotheken zuzugreifen und gültige Zertifikate zu erstellen – ohne Prüfung, ob die betreffende Person wirklich geimpft ist oder nicht.
Die beiden IT-Sicherheitsextern André Zilch und Martin Tschirsich konnten sich den Zugang verschaffen, indem sie Daten einer fiktiven Apotheke einreichten. Für die Überprüfung verlangte der zuständige Deutsche Apothekerverband (DAV) bloß zwei vergleichsweise leicht zu fälschende Dokumente. Impfzertifikate, die womöglich über diese Sicherheitslücke beschafft wurden, kursieren bereits im Darknet.
Apothekerverband zieht den Stecker
Vom Handelsblatt mit den Mängeln konfrontiert, stoppte der DAV am Mittwoch die Möglichkeit zur Ausstellung von Impfnachweisen. Die Zugänge würden mehrfach pro Woche überprüft, nun sei eine weitere Kontrolle gestartet worden: „Diese hat bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben […].“ Allerdings werden im Darknet bereits digitale Impfzertifikate aus Deutschland angeboten, wie das Schweizer Nachrichtenportal „Watson“ berichtet. An den Kennziffern ist abzulesen, dass diese durch Apotheken ausgestellt werden. Tschirsich meint: „Es ist ziemlich wahrscheinlich, dass die kriminellen Anbieter eine der aufgezeigten Schwachstellen des DAV-Portals nutzen.“
Nachträgliche Sperrung nicht vorgesehen?
Dass alle beim Webportal angemeldeten Apotheken noch einmal fundiert geprüft werden, birgt keine hundertprozentige Sicherheit. Denn es besteht auch die Möglichkeit, dass sich Kriminelle die Anmeldedaten einer echten Apotheke erschlichen haben. Zudem gibt es keine Möglichkeit, bereits ausgestellte Impfnachweise nachträglich zu sperren. „Die einzig ehrliche Lösung wäre, die 25 Millionen Impfnachweise, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären“, sagt Zilch. Er und Tschirsich halten das aufgrund es des dadurch entstehenden Schadens für unwahrscheinlich.
Kritik an Politik
In der Kritik steht neben dem DAV auch Bundesgesundheitsminister Jens Spahn (CDU). Der Weg für die Impfnachweise über die Apotheken war ursprünglich nicht vorgesehen. Er wurde aufgrund des Zeitdrucks bei dem Projekt kurzfristig eingerichtet. Das Bundesgesundheitsministerium gab auf eine Anfrage bislang keine konkrete Stellungnahme ab.
Lücke im Gastzugang?
Nicht alle Apotheken sind Mitglied im Apothekerverband. Um auch diesen Apotheken eine Teilnahme am Vergabeverfahren zu ermöglichen, wurde für etwa 470 Apotheken ein "Gast-Zugang" eingerichtet. Szenekenner vermuten, dass die Hacker möglicherweise über diesen Gastzugang eingedrungen sein könnten.
QR-Code kommt per Post
Betroffene müssen aber nicht verzweifeln. In vielen Bundesländern wird der QR-Code 1-2 Wochen nach der zweiten Impfung automatisch per Post zugeschickt, in Hessen beispielsweise vom Ministerium für Inneres und Sport. Man sollte also seine tägliche Post also genau durchsehen, damit dieser unscheinbare Brief nicht als unerwünschte Werbung wegsortiert wird.
Kritisch könnte es höchstens für Urlaubsreisende sein, die dringend einen digitalen Impfnachweis brauchen, weil sie sonst nicht in den Urlaub starten können. Hier sollte man sich mit der gebuchten Flugline, dem Reiseveranstalter oder dem Impfzentrum bzw. dem impfenden Hausarzt in Verbindung setzen, welche Möglichkeiten es gibt. Mit Wartezeiten ist zu rechnen.
Gut, wenn man sich selbst helfen kann. In den USA wird das Recht auf Eigenreparaturen gestärkt.