Gesperrt

Apotheken: Aktuell keine digitalen Impfnachweise

Wo Compu­ter­sys­teme begehrte Zerti­fikate erstellen, macht sich Begierde breit, ob man nicht "einfach so" auch eins bekommen könnte. Betroffen ist der digi­tale Corona Impf­nach­weis in Apotheken, die Server gesperrt.

Gegen Vorlage des Impfasses konnte man in Apotheken einen digitalen Impfnachweis bekommen. Die Server sind derzeit abgeschaltet. Gegen Vorlage des Impfasses konnte man in Apotheken einen digitalen Impfnachweis bekommen. Die Server sind derzeit abgeschaltet.
Foto: Picture-Alliance / dpa
Corona: Sinkende Inzi­denz­werte und stei­gende Impf­quoten bringen so langsam etwas "Norma­lität" zurück, wenn man über­haupt noch von "Norma­lität" spre­chen kann. Wer zweimal geimpft wurde und deswegen die notwen­digen Einträge und Stempel in seinem Impf­pass erhalten hat, konnte sich anschlie­ßend in einer nahe­lie­genden Apotheke die notwen­digen QR-Codes auszu­stellen lassen, die man dann in der Corona Warn- oder der Covpass-App einlesen kann. Wer heute in einer Apotheke danach fragt, wird auf Kopf­schüt­teln stoßen, denn das Portal des Deut­schen Apotheker-Verbandes wurde kurz­fristig abge­schaltet.

Digi­tale Sicher­heits­lücke

Gegen Vorlage des Impfasses konnte man in Apotheken einen digitalen Impfnachweis bekommen. Die Server sind derzeit abgeschaltet. Gegen Vorlage des Impfasses konnte man in Apotheken einen digitalen Impfnachweis bekommen. Die Server sind derzeit abgeschaltet.
Foto: Picture-Alliance / dpa
Offenbar weist der offi­zielle deut­sche Impf­nach­weis eine gravie­rende Sicher­heits­lücke auf, wie zwei IT-Sicher­heits­spe­zia­listen der in Düssel­dorf erschei­nenden Wirt­schafts­zei­tung Handels­blatt bestä­tigt haben. Ihnen ist es gelungen, inner­halb von 48 Stunden unbe­merkt auf das Impf­nach­weis-Portal der Apotheken zuzu­greifen und gültige Zerti­fikate zu erstellen – ohne Prüfung, ob die betref­fende Person wirk­lich geimpft ist oder nicht.

Die beiden IT-Sicher­heits­extern André Zilch und Martin Tschir­sich konnten sich den Zugang verschaffen, indem sie Daten einer fiktiven Apotheke einreichten. Für die Über­prü­fung verlangte der zustän­dige Deut­sche Apothe­ker­ver­band (DAV) bloß zwei vergleichs­weise leicht zu fälschende Doku­mente. Impf­zer­tifi­kate, die womög­lich über diese Sicher­heits­lücke beschafft wurden, kursieren bereits im Darknet.

Apothe­ker­ver­band zieht den Stecker

Vom Handels­blatt mit den Mängeln konfron­tiert, stoppte der DAV am Mitt­woch die Möglich­keit zur Ausstel­lung von Impf­nach­weisen. Die Zugänge würden mehr­fach pro Woche über­prüft, nun sei eine weitere Kontrolle gestartet worden: „Diese hat bis zum heutigen Donners­tag­mittag keine Hinweise auf andere unbe­rech­tigte Zugänge ergeben […].“ Aller­dings werden im Darknet bereits digi­tale Impf­zer­tifi­kate aus Deutsch­land ange­boten, wie das Schweizer Nach­rich­ten­portal „Watson“ berichtet. An den Kenn­zif­fern ist abzu­lesen, dass diese durch Apotheken ausge­stellt werden. Tschir­sich meint: „Es ist ziem­lich wahr­schein­lich, dass die krimi­nellen Anbieter eine der aufge­zeigten Schwach­stellen des DAV-Portals nutzen.“

Nach­träg­liche Sper­rung nicht vorge­sehen?

Dass alle beim Webportal ange­mel­deten Apotheken noch einmal fundiert geprüft werden, birgt keine hundert­pro­zen­tige Sicher­heit. Denn es besteht auch die Möglich­keit, dass sich Krimi­nelle die Anmel­dedaten einer echten Apotheke erschli­chen haben. Zudem gibt es keine Möglich­keit, bereits ausge­stellte Impf­nach­weise nach­träg­lich zu sperren. „Die einzig ehrliche Lösung wäre, die 25 Millionen Impf­nach­weise, die über das DAV-Portal ausge­stellt wurden, alle­samt für ungültig zu erklären“, sagt Zilch. Er und Tschir­sich halten das aufgrund es des dadurch entste­henden Scha­dens für unwahr­schein­lich.

Kritik an Politik

In der Kritik steht neben dem DAV auch Bundes­gesund­heits­minister Jens Spahn (CDU). Der Weg für die Impf­nach­weise über die Apotheken war ursprüng­lich nicht vorge­sehen. Er wurde aufgrund des Zeit­drucks bei dem Projekt kurz­fristig einge­richtet. Das Bundes­gesund­heits­minis­terium gab auf eine Anfrage bislang keine konkrete Stel­lung­nahme ab.

Lücke im Gast­zugang?

Nicht alle Apotheken sind Mitglied im Apothe­ker­ver­band. Um auch diesen Apotheken eine Teil­nahme am Verga­bever­fahren zu ermög­lichen, wurde für etwa 470 Apotheken ein "Gast-Zugang" einge­richtet. Szene­kenner vermuten, dass die Hacker mögli­cher­weise über diesen Gast­zugang einge­drungen sein könnten.

QR-Code kommt per Post

Betrof­fene müssen aber nicht verzwei­feln. In vielen Bundes­län­dern wird der QR-Code 1-2 Wochen nach der zweiten Impfung auto­matisch per Post zuge­schickt, in Hessen beispiels­weise vom Minis­terium für Inneres und Sport. Man sollte also seine tägliche Post also genau durch­sehen, damit dieser unschein­bare Brief nicht als uner­wünschte Werbung wegsor­tiert wird.

Kritisch könnte es höchs­tens für Urlaubs­rei­sende sein, die drin­gend einen digi­talen Impf­nach­weis brau­chen, weil sie sonst nicht in den Urlaub starten können. Hier sollte man sich mit der gebuchten Flug­line, dem Reise­ver­anstalter oder dem Impf­zen­trum bzw. dem impfenden Haus­arzt in Verbin­dung setzen, welche Möglich­keiten es gibt. Mit Warte­zeiten ist zu rechnen.

Gut, wenn man sich selbst helfen kann. In den USA wird das Recht auf Eigen­repa­raturen gestärkt.

Mehr zum Thema Sicherheit