Apotheken: Aktuell keine digitalen Impfnachweise

Gegen Vorlage des Impfasses konnte man in Apotheken einen digitalen Impfnachweis bekommen. Die Server sind derzeit abgeschaltet.
Foto: Picture-Alliance / dpa Corona: Sinkende Inzi­denz­werte und stei­gende Impf­quoten bringen so langsam etwas "Norma­lität" zurück, wenn man über­haupt noch von "Norma­lität" spre­chen kann. Wer zweimal geimpft wurde und deswegen die notwen­digen Einträge und Stempel in seinem Impf­pass erhalten hat, konnte sich anschlie­ßend in einer nahe­lie­genden Apotheke die notwen­digen QR-Codes auszu­stellen lassen, die man dann in der Corona Warn- oder der Covpass-App einlesen kann. Wer heute in einer Apotheke danach fragt, wird auf Kopf­schüt­teln stoßen, denn das Portal des Deut­schen Apotheker-Verbandes wurde kurz­fristig abge­schaltet.

Digi­tale Sicher­heits­lücke

Gegen Vorlage des Impfasses konnte man in Apotheken einen digitalen Impfnachweis bekommen. Die Server sind derzeit abgeschaltet.
Foto: Picture-Alliance / dpa Offenbar weist der offi­zielle deut­sche Impf­nach­weis eine gravie­rende Sicher­heits­lücke auf, wie zwei IT-Sicher­heits­spe­zia­listen der in Düssel­dorf erschei­nenden Wirt­schafts­zei­tung Handels­blatt bestä­tigt haben. Ihnen ist es gelungen, inner­halb von 48 Stunden unbe­merkt auf das Impf­nach­weis-Portal der Apotheken zuzu­greifen und gültige Zerti­fikate zu erstellen – ohne Prüfung, ob die betref­fende Person wirk­lich geimpft ist oder nicht.

Die beiden IT-Sicher­heits­extern André Zilch und Martin Tschir­sich konnten sich den Zugang verschaffen, indem sie Daten einer fiktiven Apotheke einreichten. Für die Über­prü­fung verlangte der zustän­dige Deut­sche Apothe­ker­ver­band (DAV) bloß zwei vergleichs­weise leicht zu fälschende Doku­mente. Impf­zer­tifi­kate, die womög­lich über diese Sicher­heits­lücke beschafft wurden, kursieren bereits im Darknet.

Apothe­ker­ver­band zieht den Stecker

Vom Handels­blatt mit den Mängeln konfron­tiert, stoppte der DAV am Mitt­woch die Möglich­keit zur Ausstel­lung von Impf­nach­weisen. Die Zugänge würden mehr­fach pro Woche über­prüft, nun sei eine weitere Kontrolle gestartet worden: „Diese hat bis zum heutigen Donners­tag­mittag keine Hinweise auf andere unbe­rech­tigte Zugänge ergeben […].“ Aller­dings werden im Darknet bereits digi­tale Impf­zer­tifi­kate aus Deutsch­land ange­boten, wie das Schweizer Nach­rich­ten­portal „Watson“ berichtet. An den Kenn­zif­fern ist abzu­lesen, dass diese durch Apotheken ausge­stellt werden. Tschir­sich meint: „Es ist ziem­lich wahr­schein­lich, dass die krimi­nellen Anbieter eine der aufge­zeigten Schwach­stellen des DAV-Portals nutzen.“

Nach­träg­liche Sper­rung nicht vorge­sehen?

Dass alle beim Webportal ange­mel­deten Apotheken noch einmal fundiert geprüft werden, birgt keine hundert­pro­zen­tige Sicher­heit. Denn es besteht auch die Möglich­keit, dass sich Krimi­nelle die Anmel­dedaten einer echten Apotheke erschli­chen haben. Zudem gibt es keine Möglich­keit, bereits ausge­stellte Impf­nach­weise nach­träg­lich zu sperren. „Die einzig ehrliche Lösung wäre, die 25 Millionen Impf­nach­weise, die über das DAV-Portal ausge­stellt wurden, alle­samt für ungültig zu erklären“, sagt Zilch. Er und Tschir­sich halten das aufgrund es des dadurch entste­henden Scha­dens für unwahr­schein­lich.

Kritik an Politik

In der Kritik steht neben dem DAV auch Bundes­gesund­heits­minister Jens Spahn (CDU). Der Weg für die Impf­nach­weise über die Apotheken war ursprüng­lich nicht vorge­sehen. Er wurde aufgrund des Zeit­drucks bei dem Projekt kurz­fristig einge­richtet. Das Bundes­gesund­heits­minis­terium gab auf eine Anfrage bislang keine konkrete Stel­lung­nahme ab.

Lücke im Gast­zugang?

Nicht alle Apotheken sind Mitglied im Apothe­ker­ver­band. Um auch diesen Apotheken eine Teil­nahme am Verga­bever­fahren zu ermög­lichen, wurde für etwa 470 Apotheken ein "Gast-Zugang" einge­richtet. Szene­kenner vermuten, dass die Hacker mögli­cher­weise über diesen Gast­zugang einge­drungen sein könnten.

QR-Code kommt per Post

Betrof­fene müssen aber nicht verzwei­feln. In vielen Bundes­län­dern wird der QR-Code 1-2 Wochen nach der zweiten Impfung auto­matisch per Post zuge­schickt, in Hessen beispiels­weise vom Minis­terium für Inneres und Sport. Man sollte also seine tägliche Post also genau durch­sehen, damit dieser unschein­bare Brief nicht als uner­wünschte Werbung wegsor­tiert wird.

Kritisch könnte es höchs­tens für Urlaubs­rei­sende sein, die drin­gend einen digi­talen Impf­nach­weis brau­chen, weil sie sonst nicht in den Urlaub starten können. Hier sollte man sich mit der gebuchten Flug­line, dem Reise­ver­anstalter oder dem Impf­zen­trum bzw. dem impfenden Haus­arzt in Verbin­dung setzen, welche Möglich­keiten es gibt. Mit Warte­zeiten ist zu rechnen.

Gut, wenn man sich selbst helfen kann. In den USA wird das Recht auf Eigen­repa­raturen gestärkt.