Ein digitales Impfzertifikat ermöglicht vielen Menschen Erleichterungen im Alltag und beim Reisen. Doch nun hat der deutsche Apothekerverband die Ausstellung gestoppt. Grund ist eine Sicherheitslücke, die zwei IT-Sicherheitsexperten aufgedeckt haben.
Der Verkauf von gefälschten Corona-Testergebnissen und Impfnachweisen boomt seit Monaten, wie unter anderem die BBC bereits im März berichtete.
Seit Juni 2021 ist in Deutschland zusätzlich zum Impfnachweis auch das digitale Impfzertifikat erhältlich. Über einen QR-Code können Geimpfte ihren Impfnachweis in die Corona-Warn-App oder die Cov-Pass-App laden.
Trotz vorheriger Beteuerungen über die Sicherheit des digitalen Impfzertifikats, ist auch dieses bereits im Darknet aufgetaucht. Eine Handelsblatt-Recherche zeigt nun, wie leicht das System um den Nachweis zu knacken ist.
Wie unsicher ist das digitale Impfzertifikat wirklich?
Der unbemerkte Zugriff auf das Impfnachweis-Portal der Apotheken hat die beiden IT-Sicherheitsexperten André Zilch und Martin Tschirsich nur 48 Stunden gekostet. Für die Recherche des Handelsblatts haben sie gültige Zertifikate erstellt – ohne eine entsprechende Prüfung über eine tatsächliche Impfung.
Der Deutsche Apothekerverband (DAV) hat – konfrontiert mit den Ergebnissen – die Erstellung der Zertifikate nun erst einmal für alle Apotheken gesperrt. Laut DAV überprüfe der Verband das Portal „mehrfach pro Woche“. Eine erneute Prüfung habe jedoch „bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben“.
Anfang der Woche war man hier noch von einer technischen Störung des Servers ausgegangen, wie Apotheke Adhoc berichtete. Inzwischen ist klar, dass die Recherche des Handelsblatt der Grund für die Lahmlegung ist.
Was steckt hinter der Recherche?
Für den Hack des Portals mussten sich die beiden IT-Experten lediglich eine Apotheke ausdenken. Mit der „Sonnen-Apotheke“ haben sie sich dann in das System geschlichen.
Auch die Hürde einer Betriebserlaubnis konnten die Experten leicht umgehen: Da „viele Apotheken diese Dokumente auf ihre Internetseite stellen“, konnten sie sich durch einfache Bildbearbeitung ihre eigene Betriebserlaubnis basteln. Auch mit diesem Dokument konnten sie den DAV täuschen.
Am Sonntagabend ging der Antrag beim DAV ein, am nächsten Morgen war er bereits um 9.50 Uhr bestätigt. Mit der Bestätigung: „Wir freuen uns, Ihnen mitteilen zu können, dass Ihre Dokumente erfolgreich geprüft wurden.“
Was das jedoch für eine Prüfung gewesen sein soll, ist angesichts der Recherche-Ergebnisse äußerst fraglich.
Radikale Lösung für digitales Impfzertifikat: Alles ungültig machen
„Es ist nicht mal so, dass der Zugang zu den digitalen Impfnachweisen schlecht gesichert ist. Er ist de facto gar nicht gesichert“, zitiert das Handelsblatt André Zilch.
So konnten Zilch und sein Kollege Tschirsich mit ihrem Zugang nicht nur das vom Robert Koch-Institut signierte Impfzertifikat ausstellen, sondern unter anderem auch Genesenen-Zertifikate.
Das Problem dieser Sicherheitslücke beschreibt das Handelsblatt wie folgt: „Es gebe keine Möglichkeit, bereits ausgestellte Impfnachweise nachträglich zu sperren.“
Das Bundesgesundheitsministerium teilte mit, dass Zuständige die im Zuge der Recherche erstellten Impfnachweise inzwischen gesperrt haben. Doch die RKI-Prüf-App weist diese weiterhin als gültig aus.
Für Zilch ist ein drastischer Schritt die einzige Lösung: „Die einzige ehrliche Lösung wäre, die Millionen von Impfnachweisen, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären.“
Auch interessant:
