DIMDI-Sicherheitslogo für Versandapotheken online

Zuerst einmal steht und fällt jedes Sicherheitssystem mit seiner Bekanntheit. In einer – nicht-repräsentativen Umfrage auf einer überwiegend von Apothekern besuchten Tagung am letzten Wochenende war das DIMDI-Siegel fast unbekannt. In erster Näherung vermute ich somit, dass der breiten Öffentlichkeit das segensreiche Wirken des DIMDI und seine Funktion als "trust-center" (da Bundesbehörde) noch unbekannt ist und bis zur allgemeinen Bekanntheit des DIMDI in Verbraucherkreisen (wenn diese denn je erreicht wird) die "Vertrauensschwelle" für das Siegel nicht höher als die des gerichtlich als irreführend verworfenen BVDVA-Siegels sein wird¹.

Ich habe mir daher für diesen ersten Test und ggf. weitergehende Untersuchungen – bewusst erst, nachdem das DIMDI mit dem System online war – die Internetadresse http://www.dimdi.de.vu gesichert. Damit könnte ich, nach meiner Hypothese für Laien schwer zu erkennen, eine "DIMDI-Parallelwelt" unter dieser Domain erschaffen, auf die ich sorglose Verbraucher locken kann, um ihnen dort alles Mögliche vorzugaukeln. Zum Beispiel könnte ich dort ein komplettes System, auch unter Nutzung von https² , auf welches das DIMDI schwerpunktmäßig als Schutzsystem zu setzen scheint, aufbauen und damit den echten DIMDI-Seiten noch ähnlicher werden. Dafür reichte die Zeit seit dem 21. April 2009 nicht. Als echter Fälscher hätte ich hier auch die Möglichkeit, mit leicht im web erhältlicher illegaler Software die Adressen zu tarnen (z. B. das "vu" zu verstecken) oder "url-hijacking³ " einzusetzen.

Im Grundsatz ist die Methode zu versuchen, die Echtheit einer web-site über "links⁴ " und "backlinks⁵ ", also Hin- und Zurückverweisung, herzustellen, eine gute Idee. In der Pressekonferenz hatte Dr. Kaiser, DIMDI-Direktor, aber von verschiedenen Sicherheitssystemen zum Schutz gesprochen. Das, was ich bisher gefunden habe, war wenig überzeugend. Allerdings habe ich – allein schon aus juristischen Gründen – keinerlei Angriffe auf das DIMDI selbst gefahren, was echte Hacker sicher tun würden. Über den Erfolg solcher Angriffe möchte ich auch nicht spekulieren, nur so viel, zumindest früher war das DIMDI gegen Angriffe gut geschützt, aber Hacker lernen dazu, siehe die neuesten Entwicklungen bei Schadsoftware wie den Wurm "Conficker⁶ ". Vermutlich wäre aber ein solcher Angriff auch gar nicht nötig, da ich als illegale Versandapotheke meine Geschäfte völlig ohne Siegel usw. machen kann, wie das seit Jahren unbehelligte Agieren der illegalen tschechischen Versandapotheken, deren Prospekte z. B. den Sendungen eines bekannten Versandhauses beiliegen, tagtäglich beweist. Auch der einfache Aufbau einer "Parallelwelt" wäre für das Ziel der Illegalen unter den obwaltenden Umständen sicher schon zu aufwendig.

Ich habe als "Sicherungssystem" der Seiten, wie gesagt, nur einen Passwortschutz auf den Apothekenlisten des DIMDI gefunden, den die Demoversion in 4 Sekunden entfernt hatte. Die web-Seiten waren nicht einmal mit einfachen Mitteln, wie ich sie für meine private homepage nutze (allerdings für Fachleute leicht zu umgehen), oder gar – zu meiner Enttäuschung – nicht mit DIMDI-eigenentwickelter, innovativer, mächtiger Verschlüsselungssoftware gegen das Herunterladen des Quelltextes geschützt. Ich frage mich also, warum hat es bis zum 21. April 2009 – entgegen der früheren Ankündigungen des BMG zum 1. Januar 2009 – gedauert, um mit dem Siegel online zu gehen? Somit reichte der Internetexplorer mit der Funktion "Quelltext" aus, um den xml-Code in einen Textfile zu übernehmen und mit einem einfachen Editor im gewünschten Sinne zu verändern.

Fazit

Das Siegel des DIMDI und sein Schutzsystem finde ich nicht überzeugend, im Gegenteil. Mit einem Zeitaufwand von ca. 4 Stunden (nur eine Person), ausschließlich legaler, kostenlos oder günstig zu erwerbender Software, gelingt es doch das DIMDI-Siegel illegal zu "nutzen". Mit mehr Zeit und Aufwand wäre es sicher möglich das System in einer "Parallelwelt" recht täuschend echt nachzubilden. Mit ausreichend krimineller Energie, Nutzung illegaler Tools, mehr Zeitaufwand und (geschultem Fach-) Personal, über das die Fälscher vermutlich verfügen, sind sicher noch (im Sinne der Fälscher) überzeugendere "Ergebnisse" zu erzielen. Aber vermutlich brauchen die illegalen Versandapotheken solche Fälschungen gar nicht, solange der Verfolgungsdruck in Deutschland nahe Null ist und die "Markennamen" der Illegalen, z. B. aus Tschechien, in der Öffentlichkeit deutlich bekannter als der des DIMDI sind. Wenn dann das gleiche DIMDI auch noch nach seiner Erhebung zum "trustcenter" (geprüft am 26. April 2009) von einer anderen Seite seines Systems über "links" noch für mindestens eine illegale Versandapotheke wirbt ... Und gegen die echten, nach US-Recht legalen Versandapotheken, die weltweit verschreibungspflichtige und sogar nach deutschem Recht Betäubungsmittel auf Bestellung ohne Rezept an fast jedermann versenden, hilft das alles sowieso nicht⁸.

Wer möchte, kann sich die veränderten Seiten über meine homepage www.schweim. privat.t-online.de/ ansehen. Unter: www.schweim.privat.t-online.de/index2.html dort: "Politik" klicken (http://www.schweim.privat.t-online.de/4579.html?*session*id*key*=*session*id*val*), etwas herunterscrollen bis das Bild mit dem Siegel erscheint (siehe Abbildung unten auf vorhergehender Seite) und dann die "links" im Kasten rechts anklicken.

Autor 

Prof. Dr. Harald G. Schweim, 
Universität Bonn, 
Drug Regulatory Affairs

¹ www.konsumo.de/news/2748Sichere-Versandapotheke-BVDVA-gepr%C3%BCft-Siegel-irref%C3%BChrend"

² de.wikipedia.org/wiki/Https

³ https://de.wikipedia.org/wiki/URL-Hijacking

⁴ de.wikipedia.org/wiki/Hyperlink

⁵