Apotheken können deutschlandweit aktuell keine digitalen Impfzertifikate mehr ausstellen. Aufgrund einer Sicherheitslücke hat der Deutsche Apothekerverband (DAV) die Ausgabe der Zertifikate über sein Webportal abgeschaltet. Zwei IT-Sicherheitsexperten war es gelungen, sich mit einer fiktiven Apotheke im Portal des Verbands zu registrieren und gültige Impfzertifikate zu erstellen.
Um die Impfnachweise ausstellen zu können, müssen sich Apotheken in einem Portal des Deutschen Apothekerverbands registrieren. Für Mitglieder der Landesapothekerverbände hat der Bundesverband Daten vorliegen, um die Identität der Apotheker:innen zu überprüfen. Aus wettbewerbsrechtlichen Gründen habe man das Portal aber auch für Nicht-Mitglieder öffnen müssen, erklärt der Verband in einem Statement.
Zugang zum Webportal ohne technisches Know-How
Etwa 470 Apotheken, die nicht Mitglied in ihrem Landesapothekerverband sind, haben diesen Zugang bekommen und können Impfnachweise ausstellen. Diese Apotheken tauchen nicht in den Registern des Bundesverbands auf. Sie müssen deshalb ihre Betriebserlaubnis und einen Aktivitätsnachweis, etwa in Form von Abrechnungen oder einem Bescheid des Nacht- und Notdienstfonds, vorlegen, um Zugriff auf das Webportal zu erhalten.
Wie die IT-Sicherheitsexperten Martin Tschirsich und André Zilch jetzt gezeigt haben, ist es ohne technisches Know-How problemlos möglich, diese Dokumente zu fälschen und so Zugang zum Portal zu bekommen. Die Experten erfanden eine fiktive „Sonnen-Apotheke“, erstellten mit Bildbearbeitung die nötigen Dokumente und gaben eine beliebige Zahlenfolge als Telematik-ID an. Diese ID benötigen Apotheken normalerweise, um sich mit der Telematikinfrastruktur zu verbinden und so mit anderen Akteur:innen des Gesundheitssystems zu kommunizieren und Daten auszutauschen. Diese ID wird laut Martin Tschirsich aber bei der Anmeldung gar nicht geprüft. Deshalb kamen die Experten mit einer beliebigen Zahlenfolge bei der Anmeldung durch.
Nach zwei Tagen erhielten die falschen Apotheker den Zugang zum Portal und konnten Impfnachweise mit beliebigen Namen und Impfterminen ausstellen. Die Überprüfungsapp „CovPass Check“ des Robert Koch-Instituts erkannte die Zertifikate als echten Impfnachweis an. Die Sicherheitslücke könnte also genutzt werden, um nicht geimpften Menschen ein gültiges Impfzertifikat auszustellen und ihnen damit Reisen innerhalb der EU und den Besuch von Großveranstaltungen ohne Testnachweis ermöglichen, was das Infektionsrisiko erhöhen könnte.
Auf Anfrage von netzpolitik.org kritisiert Martin Tschirsich, dass der Impfzertifikatdienst des Apothekerverbands kurzfristig an das Internet-Portal angeschlossen wurde: „Damit einher ging ein Verzicht auf ursprünglich auch vom Gesundheitsministerium geforderte Sicherheitsmaßnahmen wie eine Zwei-Faktor-Authentisierung.“ Eigentlich sollten die Nachweise in den Apotheken über die Telematikinfrastruktur erstellt werden. Nur aus Zeitgründen habe man beim Apothekerverband darauf verzichtet: „Die notwendigen Komponenten für die Ausstellung von Impfzertifikaten über die Telematik-Infrastruktur stehen bereit und werden auf Seiten der Ärzteschaft bereits genutzt. Die Apotheker müssten hier lediglich nachziehen.“
Deutsche Impfnachweise auf dem Schwarzmarkt erhältlich
Als Reaktion auf die Enthüllung schaltete der Apothekerverband das Portal ganz ab. Apotheken können also aktuell keine neuen Zertifikate ausstellen. Die über 25 Millionen in Apotheken ausgegebenen Impfnachweise behalten aber ihre Gültigkeit. Und das, obwohl nicht sichergestellt ist, dass alle von echten Apotheken ausgestellt wurden. IT-Experte Zilch fordert deshalb im Handelsblatt, alle von den Apotheken ausgestellten Nachweise für ungültig zu erklären.
Einzelne Zertifikate, die von einer Apotheke unrechtmäßig herausgegeben worden sind, könne man nicht für ungültig erklären, so Tschirsich: „Die notwendigen Sperrmechanismen existieren einfach nicht. Die über den von uns erschlichenen Zugang ausgestellten Zertifikate werden daher in der CovPassCheck-App weiterhin als gültig anerkannt.“
Die Schweizer Ausgabe von Watson berichtete bereits vor einer Woche über das Problem mit gefälschten deutschen Impfzertifikaten. Die Redaktion hat nach eigenen Angaben Einblicke in den Handel mit gefälschten, aber gültigen deutschen Impfzertifikaten über Messenger-Dienste bekommen. In weniger als 30 Minuten könne man sich für 150 Schweizer Franken, umgerechnet etwa 138 Euro, ein EU-weit gültiges digitales Impfzertifikat als PDF besorgen.
Die Autoren des watson-Artikels vermuteten einen „missbräuchlichen Zugriff“ auf das Portal des Apothekerverbands als Ursprung der Zertifikate. Der Verband hatte damals bestritten, dass es eine Sicherheitslücke gebe und begründete das damit, dass nur „der Inhaber oder oder die Inhaberin der Apotheke und die durch sie angelegten Mitarbeitenden Zugriff aufs System“ hätten. Dass eine komplette Apotheke erfunden sein könnte, zog man damals offensichtlich nicht in Erwägungen.
Diese Haltung kritisiert Tschirsich gegenüber netzpolitik.org: „Weder für den DAV noch für Dritte kam diese Sicherheitslücke überraschend. Irgendwoher müssen die seit Wochen auf Telegram gehandelten und über das DAV-Portal ausgestellten Impfzertifikate ja stammen. Der DAV hätte allerdings die Warnung von G Data oder Watson ernst nehmen müssen.“
Impfzentren und Arztpraxen nicht betroffen
Der Apothekerverband hat laut eigener Aussage die über Gastzugänge angemeldeten Apotheken nach Bekanntwerden der Sicherheitslücke überprüft und keine Hinweise auf Missbrauch gefunden. Wie trotzdem gültige, aber gefälschte deutsche Impfzertifikate auf dem Schwarzmarkt landen konnten, erklärt der Verband in seinem Statement nicht.
Dem Gesundheitsministerium zufolge sollen die Apotheken ab Anfang nächster Woche nach und nach wieder Zugang zum Webportal bekommen. Man habe bei der Überprüfung keinen Betrug feststellen können. Man arbeite aber daran, den Prozess der Zertifikatserstellung in die Telematikinfrastruktur einzubinden und damit sicherer zu machen.
Die Berliner Datenschutzbeauftragte Maja Smoltczyk kündigte dem Handelsblatt gegenüber an, den Vorfall zu prüfen.