Der offizielle deutsche Impfnachweis weist eine gravierende Sicherheitslücke auf. IT-Spezialisten war es gelungen, unbemerkt auf das Impfnachweis-Portal der Apotheken zuzugreifen und dort gültige Zertifikate zu erstellen.
Damit umgingen die Sicherheitsexperten die Prüfung, ob die betreffende Person geimpft ist oder nicht. Als Konsequenz daraus wurde die Ausstellung der Zertifikate über Apotheken diese Woche vorübergehend gestoppt. Wie das Handelsblatt berichtet, hatten sich die beiden Männer innerhalb von 48 Stunden unbemerkt einen Zugang zu dem System verschafft. Dazu reichten sie die Daten einer fiktiven Apotheke ein. Für die Überprüfung verlangte der zuständige Deutsche Apothekerverband (DAV) lediglich zwei vergleichsweise leicht zu fälschende Dokumente.
Zertifikat aus dem Darknet
Nach einem Bericht des Schweizer Nachrichtenportals „Watson“ werden im Darknet bereits digitale Impfzertifikate aus Deutschland angeboten. Durch die Kennziffer sei nachweisbar, dass diese von Apotheken ausgestellt worden seien. „Es ist ziemlich wahrscheinlich, dass die kriminellen Anbieter eine der aufgezeigten Schwachstellen des DAV-Portals nutzen“, so einer der beiden IT-Experten.
Anzeige
BUCHTIPP > IT-Compliance — Erfolgreiches Management
von regulatorischen Anforderungen —
Informieren & bestellen > juristische-fachbuchhandlung
Nachdem die Zeitung vom Apothekerverband eine Stellungnahme zu den Sicherheitsmängeln verlangte, stoppte dieser am Mittwoch (22.7.) die Ausstellung von Impfnachweisen über die beteiligten Apotheken. Die Zugänge würden mehrfach pro Woche überprüft, teilte der Apothekerverband mit und verwies auf eine aktuell laufende Kontrolle. „Diese hat bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben“, heißt es in einer Stellungnahme des Verbandes.
Keine 100-prozentige Sicherheit
Dass alle beim Webportal angemeldeten Apotheken noch einmal gründlich überprüft würden, garantiere keine hundertprozentige Sicherheit, meinen die IT-Sicherheitsexperten. Denn es bestehe ja auch die Möglichkeit, dass sich Kriminelle die Anmeldedaten einer echten Apotheke erschlichen haben. Zudem gibt es keine Möglichkeit, bereits ausgestellte Impfnachweise nachträglich zu sperren. „Die einzig ehrliche Lösung wäre, die 25 Millionen Impfnachweise, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären“, so die Datenschutzprofis. Beide halten das aber, aufgrund es des dadurch entstehenden Schadens, für unwahrscheinlich.
In der Kritik steht neben dem Apothekerverband auch der Bundesgesundheitsminister. Die Möglichkeit einer Ausstellung von Impfnachweisen über Apotheken war ursprünglich gar nicht vorgesehen. Diese Option wurde aufgrund des Zeitdrucks bei dem Projekt kurzfristig eingerichtet. Doch weder Minister Jens Spahn (CDU) noch das Bundesgesundheitsministerium haben sich bisher zu dem Vorfall geäußert.
.
dts, rb
