Technologie

Apotheken können keine digitalen Impfzertifikate mehr ausstellen

Reisen, Reisepass, Impfung, Corona, Covid-19, Impfausweis, Impfpass, Digitaler Impfpass, digitaler Impfnachweis. digitales Impfzertifikat
Unsplash.com / Lukas
geschrieben von Maria Gramsch

Ein digitales Impfzertifikat ermöglicht vielen Menschen Erleichterungen im Alltag und beim Reisen. Doch nun hat der deutsche Apothekerverband die Ausstellung gestoppt. Grund ist eine Sicherheitslücke, die zwei IT-Sicherheitsexperten aufgedeckt haben.

Der Verkauf von gefälschten Corona-Testergebnissen und Impfnachweisen boomt seit Monaten, wie unter anderem die BBC bereits im März berichtete.

Seit Juni 2021 ist in Deutschland zusätzlich zum Impfnachweis auch das digitale Impfzertifikat erhältlich. Über einen QR-Code können Geimpfte ihren Impfnachweis in die Corona-Warn-App oder die Cov-Pass-App laden.


Neue Stellenangebote

Werkstudent Social Media und Community Management (m/w/d)
Walbusch Gruppe in Düsseldorf
Social Media Manager (m/w/d)
Xella International GmbH in Duisburg
Online Marketing Manager SEA /SEO /Social Media (m/w/d)
JACOBS DOUWE EGBERTS DE GmbH in Bremen

Alle Stellenanzeigen


Trotz vorheriger Beteuerungen über die Sicherheit des digitalen Impfzertifikats, ist auch dieses bereits im Darknet aufgetaucht. Eine Handelsblatt-Recherche zeigt nun, wie leicht das System um den Nachweis zu knacken ist.

Wie unsicher ist das digitale Impfzertifikat wirklich?

Der unbemerkte Zugriff auf das Impfnachweis-Portal der Apotheken hat die beiden IT-Sicherheitsexperten André Zilch und Martin Tschirsich nur 48 Stunden gekostet. Für die Recherche des Handelsblatts haben sie gültige Zertifikate erstellt – ohne eine entsprechende Prüfung über eine tatsächliche Impfung.

Der Deutsche Apothekerverband (DAV) hat – konfrontiert mit den Ergebnissen – die Erstellung der Zertifikate nun erst einmal für alle Apotheken gesperrt. Laut DAV überprüfe der Verband das Portal „mehrfach pro Woche“. Eine erneute Prüfung habe jedoch „bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben“.

Anfang der Woche war man hier noch von einer technischen Störung des Servers ausgegangen, wie Apotheke Adhoc berichtete. Inzwischen ist klar, dass die Recherche des Handelsblatt der Grund für die Lahmlegung ist.

Was steckt hinter der Recherche?

Für den Hack des Portals mussten sich die beiden IT-Experten lediglich eine Apotheke ausdenken. Mit der „Sonnen-Apotheke“ haben sie sich dann in das System geschlichen.

Auch die Hürde einer Betriebserlaubnis konnten die Experten leicht umgehen: Da „viele Apotheken diese Dokumente auf ihre Internetseite stellen“, konnten sie sich durch einfache Bildbearbeitung ihre eigene Betriebserlaubnis basteln. Auch mit diesem Dokument konnten sie den DAV täuschen.

Am Sonntagabend ging der Antrag beim DAV ein, am nächsten Morgen war er bereits um 9.50 Uhr bestätigt. Mit der Bestätigung: „Wir freuen uns, Ihnen mitteilen zu können, dass Ihre Dokumente erfolgreich geprüft wurden.“

Was das jedoch für eine Prüfung gewesen sein soll, ist angesichts der Recherche-Ergebnisse äußerst fraglich.

Radikale Lösung für digitales Impfzertifikat: Alles ungültig machen

„Es ist nicht mal so, dass der Zugang zu den digitalen Impfnachweisen schlecht gesichert ist. Er ist de facto gar nicht gesichert“, zitiert das Handelsblatt André Zilch.

So konnten Zilch und sein Kollege Tschirsich mit ihrem Zugang nicht nur das vom Robert Koch-Institut signierte Impfzertifikat ausstellen, sondern unter anderem auch Genesenen-Zertifikate.

Das Problem dieser Sicherheitslücke beschreibt das Handelsblatt wie folgt: „Es gebe keine Möglichkeit, bereits ausgestellte Impfnachweise nachträglich zu sperren.“

Das Bundesgesundheitsministerium teilte mit, dass Zuständige die im Zuge der Recherche erstellten Impfnachweise inzwischen gesperrt haben. Doch die RKI-Prüf-App weist diese weiterhin als gültig aus.

Für Zilch ist ein drastischer Schritt die einzige Lösung: „Die einzige ehrliche Lösung wäre, die Millionen von Impfnachweisen, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären.“

Auch interessant:

Über den Autor

Maria Gramsch

Maria ist freie Journalistin und seit 2021 freie Autorin bei BASIC thinking. Sie hat einen Bachelor in BWL von der DHBW Karlsruhe und einen Master in Journalistik von der Universität Leipzig. Neben dem Studium hat sie als CvD, Moderatorin und VJ bei dem Regionalsender Leipzig Fernsehen und als Content-Uschi bei der Bastei-Lübbe-App oolipo gearbeitet. Im letzten Studienjahr war sie Mitgründerin, CvD und Autorin der Leipzig-Seite der taz. Maria lebt und paddelt in Leipzig und arbeitet unter anderem für turi2.de und die Leipziger Produktionsfirma schmidtFilm.

Kommentieren