Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
Handelsblatt Inside

Apotheken Impfzertifikate kommen in die Telematikinfrastruktur

Nach einer erheblichen Sicherheitslücke können Apotheken noch immer keine Impfzertifikate ausstellen. Der Grund: Das System soll grundlegend umgestellt werden.
28.07.2021 - 19:14 Uhr Kommentieren
Mit dem offiziellen deutschen Impfnachweis sind Reisen, Restaurant-Besuche und Großveranstaltungen trotz Pandemie wieder möglich. Quelle: dpa
Digitaler Impfnachweis

Mit dem offiziellen deutschen Impfnachweis sind Reisen, Restaurant-Besuche und Großveranstaltungen trotz Pandemie wieder möglich.

(Foto: dpa)

Berlin Nach dem Bekanntwerden einer erheblichen Schwachstelle bei der Ausstellung digitaler Impfzertifikate durch Apotheken wollen Bundesgesundheitsministerium und Deutscher Apothekerverband (DAV) schnellstmöglich die Sicherheit erhöhen. Der DAV hatte sein Webportal für die Impfzertifikate als Reaktion auf die Sicherheitsvorfälle vom Netz genommen.

Noch vergangene Woche hatte man aber gemeinsam mit dem Bundesgesundheitsministerium angekündigt, dass ab Montag die Apotheken schrittweise wieder Impfzertifikate ausstellen könnten.

Das ist bislang jedoch nicht der Fall. Gleichzeitig hatte es geheißen, die Ausstellung von Impfzertifikaten werde perspektivisch in die Telematikinfrastruktur (TI) integriert. Nun haben DAV und Ministerium gegenüber Handelsblatt Inside angegeben, dass dieser Schritt sofort vollzogen würde. Wann genau das so sein wird, ist noch nicht klar. Zuerst hatte das Branchenportal „Apotheke Adhoc“ berichtet.

Auslöser war eine Recherche von Handelsblatt Inside. Demnach ist es den Informationssicherheitsspezialisten André Zilch und Martin Tschirsich gelungen, innerhalb von 48 Stunden unbemerkt auf das Impfnachweis-Portal der Apotheken zuzugreifen und gültige Zertifikate zu erstellen – ohne Prüfung, ob die betreffende Person geimpft ist oder nicht.

Zilch und Tschirsich konnten sich den Zugang verschaffen, indem sie Daten einer fiktiven Apotheke einreichten. Für die Überprüfung verlangte der zuständige DAV bloß zwei vergleichsweise leicht zu fälschende Dokumente. Ein Zugang über die TI wäre gleichbedeutend mit einem sichereren Identifikationsverfahren, denn für den Zugriff darauf braucht es diverse Ausweise und Hardwarekomponenten.

Gastzugänge doch nicht allein schuld?

Die Ankündigung, die Impfzertifikate nur noch über die TI laufen zu lassen, ist ein stückweit ein Eingeständnis des DAV. Der hatte bislang betont, dass die aufgedeckte Sicherheitslücke nur die 470 Apotheken mit Gastzugang beträfen. Ursprünglich war das DAV-Portal für Mitglieder.

Rund 3000 Apotheken sind aber nicht in der Verbandsstruktur organisiert. Deshalb musste der DAV wider Willen Gastzugänge ermöglichen. Über einen solchen funktionierte der Angriff, um unbemerkt Impfzertifikate zu erstellen.

Allerdings schließt das nicht aus, dass nicht auch ein Angriff ohne Gastzugang hätte Erfolg haben können. Ursprünglich sollten nur Arztpraxen und Impfzentren die Zertifikate ausstellen. Arztpraxen nutzen für die Ausstellung die vergleichbar sichere TI.

Der Weg über die Apotheken war erst kurzfristig ergänzt worden. Die Folge: Das DAV-Portal, ob mit oder ohne Gastzugang, beinhaltet keine Zwei-Faktor-Authentifizierung. Das bedeutet, es braucht nur das Passwort, um sich Zugang zu verschaffen. Auch eine DAV-Mitgliedsapotheke ist somit schlechter gegenüber einem Hackerangriff geschützt als eine Arztpraxis.

Weiterhin keine Sperrung erschlichener Zertifikate

Offen bleibt aber noch die Frage nach der Sperrung. Die Sicherheitslücke beim DAV-Portal ist insofern dramatisch, weil einzelne Zertifikate nicht nachträglich gesperrt werden können. Das hatte das Bundesgesundheitsministerium Handelsblatt Inside offiziell vor mehreren Wochen mitgeteilt.

Nach Aufdeckung der Schwachstelle hatte das Ministerium dann aber wundersamerweise ausgesagt, die zur Demonstration ausgestellten Zertifikate würden nun gesperrt. Nochmal nachgefragt, bestätigte das Ministerium diese Aussage tags darauf: „Wir haben das bereits in die Wege geleitet.“

Jetzt, eine Woche später, ist das noch immer nicht der Fall. Die betroffenen Impfzertifikate werden weiterhin als gültig ausgewiesen. Noch einmal beim Ministerium nachgefragt heißt es wieder: „Die kurzfristige Sperrung der Zertifikate in den deutschen Apps ist in Arbeit und wird ebenfalls noch diese Woche umgesetzt.“

Gleichzeitig teilte das Ministerium mit, dass es Deutschlands oberste Strafverfolgungsbehörde eingeschaltet habe. Das Bundeskriminalamt (BKA) sowie weitere zuständige Behörden seien informiert worden, gab das Ministerium gegenüber Handelsblatt Inside an. Zuerst hatte das Schweizer Nachrichtenportal Watson berichtet.

Hintergrund sind Recherchen von Watson. Diese hatten gezeigt, dass offenbar durch deutsche Apotheken ausgestellte digitale Impfzertifikate von Kriminellen angeboten werden. Das BKA teilte auf Anfrage von Handelsblatt Inside mit, dass es keine Ermittlungen aufnehmen will.

Mehr: Wie IT-Experten bei digitalen Impfnachweisen eine Sicherheitslücke fanden

E-Mail Pocket Flipboard
0 Kommentare zu "Apotheken: Impfzertifikate kommen in die Telematikinfrastruktur"

Das Kommentieren dieses Artikels wurde deaktiviert.