Sicherheitslücke zwingt DAV-Portal in die Knie

ks | Nachdem es gut einen Monat rund lief mit der Ausstellung digitaler COVID-19-Impfzertifikate in den Apotheken, streikte das Apothekenportal ab vergangenem Mittwochnachmittag: Die Ausstellung sei derzeit nicht möglich, hieß es dort ohne weitere Begründung. Auch am Donnerstagmorgen sah die Lage nicht anders aus. Erst mittags um 13 Uhr informierte die ABDA dann die Fachpresse: Grund dafür, dass über den DAV-Server keine Impfzertifikate ausgestellt werden könnten, sei „eine Sicherheitslücke, die das ‚Handelsblatt‘ mithilfe gefälschter Dokumente gefunden hat“. Daher habe der Deutsche Apothekerverband (DAV) – „in Rücksprache mit dem Bundesgesundheitsministerium“ – die Ausstellung gestoppt. Man werde „zusätzlich zu der ohnehin mehrfach pro Woche laufenden Überprüfung der über Gastzugänge angemeldeten Betriebsstätten eine weitere Prüfung“ vornehmen. Wann die Ausstellung von Zertifikaten wieder aufgenommen wird, stand zu AZ-Redaktionsschluss nicht fest.

Mitten in den Sommerferien mussten die Apotheken Kunden, die sich digitale Impfzertifikate erstellen lassen wollten, wegschicken. Erklärungen, warum es nicht funktionierte, konnten sie ihnen nicht geben – ebenso wenig sagen, wann es sich lohnt, wieder nachzufragen. Es verging einige Zeit, bis die ABDA Licht ins Dunkel brachte: Nach einem Bericht des „Handelsblatts“ konnten unabhängige IT-Spezialisten mithilfe von gefälschten Dokumenten einen Gastzugang für einen nicht existierenden Apotheken­inhaber erzeugen. Unter der gefälschten Apotheken-Identität seien insgesamt zwei Impfzertifikate ausgestellt worden. Nachdem das „Handelsblatt“ den DAV hierüber informiert habe, habe man die Ausstellung der Zertifikate am vergangenen Mittwoch gestoppt. Die Überprüfung der Gastzugänge habe bis zum Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben. „Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken aus­gestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden“, so die ABDA.

Sie verweist auf den Zeitdruck, unter dem die technische Infrastruktur aufgebaut wurde, damit Apotheken die Zertifikate ausstellen können. Zunächst sollte das Portal nur den Verbandsmitgliedern zur Verfügung stehen. „Da deren aktuelle Daten im Mitgliederverzeichnis gelistet sind, war und ist eine zweifelsfreie und sichere Authentifizierung dieser Apotheken auf dem Portal jederzeit gewährleistet.“ Doch der Ruf wurde laut, auch Nicht-Mitgliedern einen Zugang zu verschaffen – 470 solcher Gastzugänge wurden daraufhin geschaffen. Diese Nicht-Mitglieder müssen für die Registrierung ihre Betriebserlaubnis und einen aktuellen Bescheid des Nacht- und Notdienstfonds zum Nachweis eines laufenden Betriebs vorlegen – und hier ist zumindest in diesem einen Fall die Überprüfung der Unterlagen gründlich schiefgelaufen. Das Pro­blem ist nicht einmal, dass das System von Hackern gekapert wurde. Die IT-Sicherheitsexperten, von denen einer im Chaos Computer Club aktiv ist, mussten lediglich einige Informationen im Internet einholen und mit einem Bildbearbeitungsprogramm umgehen können. Wie das „Handelsblatt“ berichtet, seien sowohl die Betriebserlaubnis als auch der NNF-Bescheid auf diese Weise – „und ein paar Nachfragen beim Apotheker in der Nachbarschaft“ – schnell nachgebaut gewesen. Dort wundert man sich, dass dem DAV keine der fiktiven An­gaben auf dem Anmeldeformular verdächtig vorgekommen sind – „nicht einmal die angebliche Lage der Sonnen-Apotheke in einem Mehr­familienhaus“. Sonntagabends sei der Antrag beim DAV eingegangen, um 9:50 Uhr am nächsten Morgen sei bereits die Bestätigung gekommen: „Wir freuen uns, Ihnen mitteilen zu können, dass Ihre Dokumente erfolgreich geprüft wurden.“ Einen weiteren Tag später war der Registrierungscode da. Dass bei der anschließenden Anmeldung beim DAV-Portal als Telematik-ID 19 beliebige Ziffern eingetippt wurden, fiel erneut nicht auf.

„Es ist nicht mal so, dass der Zugang zu den digitalen Impfnachweisen schlecht gesichert ist. Er ist de facto gar nicht gesichert“, sagte einer der IT-Experten dem „Handelsblatt“. Die Folgen der Sicherheitslücke seien gravierend, es ­gebe keine Möglichkeit, bereits ausgestellte Impfnachweise nachträglich zu sperren. Das BMG habe zwar erklärt, dass die beiden fälschlich erstellen Impfnachweise für die Corona-Warn-App sowie die CovPass-App gesperrt worden seien. Das als PDF-Datei erstellte originäre Impfzertifikat zu sperren, sei aber nicht möglich. „Die einzige ehrliche Lösung wäre, die Millionen von Impfnachweisen, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären“, so einer der Experten. Wie die Konsequenzen wirklich aussehen und ob das Portal zumindest für Verbandsmitglieder wieder geöffnet werden kann, war zu AZ-Redaktionsschluss offen. |