Kommentar Digitaler Impfnachweis: Daten ohne Schutz sind ohne Wert
Mit der Einstellung, den Schutz der Daten und die IT-Sicherheit als notwendiges Übel zu implementieren, wird es mit der modernen, digitalen Bundesrepublik nichts.
Wer einmal lügt, dem glaubt man nicht mehr. Die Phrase klingt wie eine Weisheit, die über die Grundschulzeit hinaus keine Bedeutung hat. Mit der voranschreitenden Digitalisierung muss es für dieses Credo jedoch eine Renaissance geben.
Der Grund: Viele Digitalprojekte sind so wie von einem Grundschulkind abgesichert. Die Folge: Sind einmal gefälschte Daten im Umlauf, beschädigt das auch das Vertrauen in alle echten.
Aktuellstes Beispiel ist der offizielle digitale Impfnachweis. Seit seiner Einführung sind Millionen Exemplare in Deutschland ausgestellt worden, doch nun ist eine gravierende Sicherheitslücke aufgedeckt worden.
Die IT-Sicherheitsspezialisten André Zilch und Martin Tschirsich mussten nur die simpelsten ihrer Fähigkeiten unter Beweis stellen, um das Leck offenzulegen. Ihnen ist es gelungen, innerhalb von 48 Stunden unbemerkt auf das Impfnachweis-Portal der Apotheken zuzugreifen und gültige Zertifikate zu erstellen. Sie mussten sich dafür bloß eine fiktive Apotheke ausdenken.
Die Verantwortlichen beim Apothekerverband und im Bundesgesundheitsministerium sprechen von einem professionellen Angriff. Die Wahrheit ist: Zur Fälschung der notwendigen Dokumente für den Zugang brauchten die Sicherheitsspezialisten bloß ein kostenloses Programm zur Bildbearbeitung mit rudimentären Funktionen – und nicht einmal Photoshop.
Mangelnde IT-Sicherheit ist längst ein Strukturproblem
Selbst wenn es wirklich keine weiteren Missbrauchsfälle in Form von fiktiven Apotheken gab – obwohl bereits deutsche Impfzertifikate im Darknet kursieren –, zeigt das umso mehr das verquere Verständnis der Verantwortlichen von Datensicherheit.
Denn auch so ist das Apothekenportal bloß mit einem einfachen Passwort schlecht geschützt. Ein Mitarbeiter einer Apotheke, der das Passwort kennt, könnte etwa von zu Hause aus Zertifikate erstellen.
Das Verhalten von Verband und Ministerium zeigt unter dem Brennglas, welch strukturelles Problem Deutschland mit der Sicherung von Daten und Zugängen hat.
Allein die Recherchen von Zilch und Tschirsich hätten eine ganze Chronik verdient. Den nun ausgeführten Angriff haben sie in ähnlicher Weise schon diverse Male bei Digitalprojekten des Bundes, von Krankenkassen oder bei privaten Unternehmen vorgenommen.
Deutschlandweit gibt es unzählige solcher Fälle. Immer wieder können deutsche Krankenhäuser Cyberangriffe nicht abwehren, Pandemie-Apps zur Kontaktnachverfolgung sind lückenhaft konstruiert, selbst die Software bei der vergangenen Bundestagswahl hatte eklatante Schwachstellen.
Es muss konstatiert werden: Die isolierte Aufarbeitung dieser Fälle, die Frage nach Verantwortlichen, Schuldigen und Konsequenzen immer nur mit Blick auf die jeweils betroffenen Systeme, bringt den Digitalstandort Deutschland nicht weiter. Es wird höchste Zeit, grundsätzlich zu werden.
Die Sicherheit der Daten ist das Fundament, kein Beiwerk
Deutschland muss endlich aufwachen aus der Lethargie, Datenschutz und -sicherheit seien etwas Schlechtes. Als handle es sich um Maßnahmen, die nur all jene forderten, die befürchten, dass sie in der durch die Digitalisierung sich immer schneller drehenden Welt den Anschluss verlieren.
Datenschützer und Sicherheitsspezialisten gehören bei allen Digitalvorhaben mit an den Tisch – besonders bei so wichtigen öffentlichen Projekten wie dem digitalen Impfnachweis. Vor allem: Sie gehören von Beginn an eingebunden, nicht erst am Ende.
Mit der Einstellung, erst einmal ein System zu basteln und den Schutz der Daten und die IT-Sicherheit kurz vor dem Marktstart als notwendiges Übel zu implementieren, wird es mit der modernen, digitalen Bundesrepublik nichts. Da hilft es nicht, noch so viel von agiler Produktentwicklung zu faseln, wenn dieses Fundament fehlt.
Beim Zugang der Apotheken für den Impfnachweis schaute niemand von außen auf den Aspekt der Datensicherheit. Das Ergebnis? Ist jetzt bekannt. Beim Impfnachweis hingegen arbeiteten das Bundesamt für IT-Sicherheit und der Bundesdatenschützer mit. Das Ergebnis? Das Zertifikat selbst gilt als überdurchschnittlich vertrauenswürdig.
Allerdings wurden die beiden Behörden erst äußerst spät eingebunden. Eine der Folgen: Einzelne Impfzertifikate lassen sich nicht nachträglich sperren.
Mehrere Tage nach Aufdeckung der Sicherheitslücke durch die IT-Spezialisten sind die zur Demonstration ausgestellten Impfzertifikate noch immer gültig. Das weckt Zweifel an allen 25 Millionen durch Apotheken ausgestellten Zertifikaten.
Wenig hilfreich ist es, Deutschland immer bloß gar überbordende Datenschutzstandards zu unterstellen, die Innovationen im Weg stünden. Manchmal mag das stimmen, aber es lenkt den Blick vom eigentlichen Schwachpunkt ab.
Sind unsere Daten nicht vertraulich, sind sie auch nichts wert. Wer einmal lügt, dem glaubt man nicht mehr.
Mehr: IT-Experten finden Sicherheitslücke bei digitalen Impfnachweisen
Das Kommentieren dieses Artikels wurde deaktiviert.