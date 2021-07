Es brauchte eine weltweite Pandemie, doch nun ist sie da: eine Alternative zum gelben Papp-Impfpass der WHO, auf dem Adressen nicht selten noch mit vierstelliger Postleitzahl versehen sind. Auch rote Pässe aus der DDR sind durchaus noch im Umlauf.

Bei der Corona-Impfung gibt es nun jedoch eine EU-weite digitale Lösung. Über einen QR-Code kann jeder vollständig Geimpfte oder auch Genesene seinen Status nachweisen und sich so mancherorts Zutritt zu bestimmten Lokalitäten verschaffen oder eine Quarantäne und/oder Testpflicht abwenden. Den in die Jahre gekommenen Papier-Pass kann man so vor Gefahren wie Wasser, Feuer und Erosion bewahren.

Fantasie-Apotheke erstellt Zertifikate

Ob der digitale Pass zugleich auch eine deutliche Verbesserung der Sicherheit oder Unfälschbarkeit mit sich bringt, wird jedoch zunehmend unklarer. So deckten vergangene Woche die IT-Sicherheitsforscher André Zilch und Martin Tschirsich gravierende Mängel im Registrierungssystem der Apotheken auf, die Impf-Zertifikate erstellen dürfen, die der Einzelne dann wiederum auf sein Handy laden kann.

Zilch und Tschirsich gelang es mit verhältnismäßig wenig Aufwand, eine frei erfundene Apotheke im Portal des Deutschen Apothekerverbandes (DAV) zu registrieren und damit beliebig Impf-Zertifikate ausstellen zu können. Es bräuchte dafür zwei Nachweise beziehungsweise Urkunden, die relativ leicht fälschbar waren, sowie die 19-stellige Telematik-ID. Anstatt einer echten ID konnten die Fälscher beim Portal 19 beliebige Zahlen eingeben, ohne dass dies vom System beanstandet wurde. Ein bisschen Bildbearbeitung und Herumprobieren waren also nötig, um in der Folge theoretisch beliebig Impfzertifikate ausstellen und sie weiterverkaufen zu können. Zeitweise können die Apotheken in Deutschland nun keine Zertifikate ausstellen, im Laufe dieser Woche soll das wieder möglich werden.

Experte: Situation bereinigt sich selbst

Auch wenn das Sicherheitsproblem durchaus aus einer Verkettung unglücklicher Umstände bei der Organisation der Apotheken sowie grober Fehler beim Portal besteht - und einige kriminelle Energie nötig ist: Das digitale Impfpass-System zeigt Lücken. „Die einzige ehrliche Lösung wäre, die Millionen von Impfnachweisen, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären“, sagte IT-Experte Zilch dem „Handelsblatt“.

Gegenüber der „Deutschen Apotheker-Zeitung“ (DAZ) schränkte er jedoch ein, dass dies in der Realität nicht sinnvoll sei und nun nachgebessert werden müsste, damit die Fehler sich nicht etwa bei der Eintragung von Auffrischungs-Impfungen fortsetzen. „Die Situation wird sich vermutlich mit der Zeit selbst bereinigen“, so Zilch zur „DAZ“.

FDP: Frühe Fehler bei Regierung

Neben dem DAV steht auch das Bundesgesundheitsministerium unter Jens Spahn in der Kritik. Die FDP-Politikerin Christine Aschenberg-Dugnus sagte gegenüber der „Augsburger Allgemeinen“: „Wir hätten uns das heutige Chaos und jede Menge Geld sparen können, wenn die Bundesregierung rechtzeitig gehandelt hätte.“

Sie spielt damit darauf an, dass Geimpfte nicht von Beginn an die Dokumente zum Eintragen des Impfstatus auf das Handy direkt bei der Impfung erhalten haben. Damit wurde erst Monate nach Impfstart begonnen.

Um auch bereits Geimpften das Eintragen in die Apps zu ermöglichen, brauchte es dann Orte für die nachträgliche Ausstellung der digitalen Zertifikate. Die Wahl fiel neben Impfzentren und Ärzten auf Apotheken, die dann offenbar mit Zustimmung des Bundesgesundheitsministeriums ihr eigenes DAV-Portal dafür einsetzten.

Unsicherheiten lange klar

Dass gerade das Einbeziehen des Apotheker-Portals zu Problemen bei der Sicherheit der Pässe führen könnte, ist dabei keineswegs überraschend. Im Gegenteil: „Jeder hat von Anfang an gewusst, dass das DAV-Portal unsicher ist“, so Sicherheitsexperte Tschirsich gegenüber der Deutschen Apotheker-Zeitung. Unter anderem, weil das Portal über das normale Internet erreichbar ist, anstatt etwa über das von Ärzten, Krankenkassen & Co. genutzte Netzwerk.

Eine Sicherheits-SMS oder einen Tan-Generator wie beim Online-Banking gibt es nicht. Schreibt ein Apotheken-Angestellter Name und Passwort unbedarft auf einen Zettel, kann jeder ihn abfotografieren, Cyberkriminelle könnten zudem E-Mails von Apotheken abfangen.

Tschirsich und sein Kollege Zilch berichteten laut eigener Aussage zudem Mitte Juli konkret an den Unterausschuss Pandemie im Bundestag, dass unter anderem wegen fehlender sicherer digitaler Identitäten der Apotheken gefälschte Zertifikate im Umlauf seien. Auch das Schweizer Portal Watson.ch schrieb Mitte Juli über „Zertifikate-Dealer“, die deutsche Digital-Impfpässe im Netz anböten. Der digitale EU-Impfausweis ist grundsätzlich auch in der Schweiz gültig. Die mutmaßliche Quelle der falschen Zertifikate (Kostenpunkt rund 140 Euro) auch da: das Portal der Deutschen Apotheken.

Zertifikat-Widerruf unmöglich

Der deutsche IT-Security-Dienstleister G-Data warnte bereits Ende Juni davor, dass das System der Apotheken anfällig sei: Einzelne Apotheken oder Mitarbeiter könnten - bewusst kriminell - Zertifikate ausstellen und sich relativ leicht aus einer Verantwortung stehlen, beschreibt G-Data-Experte Thomas Siebert im Firmenblog. Auch die Anmeldung per Passwort und Name wird kritisiert.

G-Data-Mann Siebert weißt neben Mängeln in der App - so werden etwa Chargen-Nummer des Impfstoffs und Impfarzt digital nicht erfasst, was eine Überprüfung des Impfstatus sehr schwer macht - noch auf ein weiteres Problem hin: eine Widerrufung des Impfzertifikats ist nicht möglich.

So ist in den Daten quasi nicht hinterlegt, wer genau den Impfausweis ausgestellt hat. Oftmals ist nur klar, ob es Apotheke oder ein Impfzentrum war. Erst seit kurzem wird die konkrete Apotheke oder das konkrete Zentrum vermerkt. Hätte ein Mitarbeiter einer Apotheke in den letzten Monaten massenhaft falsche Zertifikate erstellt, es gäbe keine Möglichkeit, nur die von ihm erstellten Impf-Codes zurückzuziehen oder nur die aus seiner Apotheke.

Gleiches gilt, falls jemand vor einigen Monaten, wie nun die IT-Sicherheitsforscher Zilch und Tschirsich, eine Fake-Apotheke ins DAV-System geschleust hätte. Es wäre nicht nachvollziehbar, welche Zertifikate von dort stammen. Man müsste entweder alle in Apotheken erstellten Ausweise löschen und neu ausstellen lassen oder keinen.

Anbindung an Telematik

Derweil überprüft die zuständige Berliner Landesdatenschutzbeauftragte Maja Smoltczyk den Fall. Die Ausstellung von Impfzertifikaten soll innerhalb der Telematik-Infrastruktur erfolgen, so das „Handelsblatt“.

Das war eigentlich schon zu Beginn der Plan gewesen, ehe sich das Gesundheitsministerium entschied, doch das vorhandene Portal der Apotheker dafür zu verwenden. Einige Folgen der Entscheidung wurden nun bekannt.