Impfnachweis IBM

Sicherheitsexperten haben ein Sicherheitsproblem im System der Impfzertifikate aus Apotheken entdeckt: Mit vergleichsweise geringem Aufwand war es möglich, sich Zugang zum System zu verschaffen – und Impfzertifikate auszustellen. Daraufhin wurde das System erst mal gestoppt. Und viele Menschen fragen sich: Ist mein Impfzertifikat aus der Apotheke noch gültig?

Der Urlaubsreiseverkehr ist in vollem Gange in Europa: Menschen fahren von A nach B – und immer wieder wird auch überprüft, ob jemand geimpft oder genesen ist. Genau dafür wurde der digitale Impfnachweis eingeführt, um solche Kontrollen schnelle, effektiv und sicher zu machen. Doch vor einigen Tagen wurde sin Sicherheitsleck im System der Apotheken entdeckt, die ja Impfzertifikate ausstellen. Und da fragen sich viele: Ist mein Impfzertifikat noch sicher – und wird es noch anerkannt?

Forscher haben ein Sicherheitsproblem entdeckt

Eigentlich soll das Digitale Impfzertifikat doch eine sichere Angelegenheit sein. Doch zwei IT-Sicherheitsexperten haben sich mal genauer angeschaut, wie die Impfzertifikate von Apotheken ausgestellt werden. Sie haben da ein Sicherheitsleck entdeckt. Apotheken, die Mitglied im Deutschen Apotheken Verband sind, sind registriert und erhalten automatisch Zugriff auf das Online-System, das es erlaubt, Digitale Impfzertifikate auszustellen, die vom Robert-Koch-Institut signiert werden.

Es gibt aber auch rund 480 Apotheken in Deutschland, die sind kein Mitglied im Verband – und haben einen Gastzugang erhalten. Nun haben die Sicherheitsforscher herausgefunden, dass es ziemlich einfach ist, sich so einen Gastzugang zu besorgen. Sie haben eine Fake-Apotheke „erfunden“, sie „Sonnen Apotheke“ genannt, gefälschte Dokumente eingereicht und einen Gastzugang beantragt. Und zwei Tage später auch erhalten. Das Handelsblatt hat diesen Fall aufgedeckt – daraufhin wurde der Zugang vergangene Woche für alle Apotheken gesperrt. Sie konnten keine Zertifikate mehr ausstellen.

Gültigkeit der ausgestellten Zertifikate nicht gefährdet

Jetzt fragen sich viele: Muss ich damit rechnen, dass mein in der Apotheke ausgestelltes Zertifikat nun unsicher ist – oder sogar ungültig wird?

Ungültig ist und wird so ein Zertifikat nicht. In den vergangenen Wochen haben die rund 18.000 Apotheken in Deutschland 25 Millionen Zertifikate ausgestellt. Es wäre eine enorme Verschwendung von Steuergeldern, diese alle als ungültig zu erklären – und neu ausstellen zu müssen. Jeder, der sein Zertifikat selbst in der Apotheke abgeholt hat, weiß ja: Das war eine echte Apotheke – also ist das Zertifikat auch echt.

Wir wissen nicht, wie viele gefälschte Zertifikate erstellt wurden und im Umlauf sind, aber vermutlich eher wenige. Außerdem – sagen Experten – erledigt sich die Sache früher oder später von alleine: Die Zertifikate sind nur ein Jahr gültig. Irgendwann ist entweder die Pandemie zu Ende – oder es braucht eine Auffrischungsimpfung. Spätestens dann sind die Zertifikate 100% sicher.

Was tun, wenn ich noch kein Zertifikat habe?

Das Sicherheitsleck wurde geschlossen: Der Apothekenverband öffnet den Zugang wieder. Erst mal für die Mitglieder des Verbands – hier ist ja kein Betrug möglich, um Mitglied zu werden, muss man eine echte Apotheke sein – , nach Überprüfung aber auch die rund 480 Gastzugänge. Die müssen nun natürlich alle auf Echtheit überprüft werden. Außerdem wurden vermeidbare Sicherheitslecks geschlossen: So war es möglich, beim Antrag eine Telematik-ID anzugeben, die gar nicht existiert.

Ein fataler, dummer und wirklich vermeidbarer Fehler. So war es möglich, sich quasi eine ID auszudenken, anstatt eine gültige ID angeben zu müssne. Jeder medizinische Betrieb hat so eine Telematik-ID. Darüber lässt sich leicht prüfen, wer damit verbunden ist – Fälschungen wären leicht aufgeflogen. Hier haben es sich die Entwickler der Software zu leicht gemacht.

Journalisten werden kritisiert – zu Unrecht!

Viele Apotheker schimpfen jetzt auf die Journalisten, vor allem beim Handelsblatt, weil sie das Leck öffentlich gemacht haben.

Das ist schon einigermaßen verrückt. Das wäre so, als ob man einen Arzt dafür verantwortlich macht, dass er eine schwere Krankheit entdeckt… Die Journalisten haben dabei geholfen, das Sicherheitsproblem öffentlich zu machen. Nur wenn ein solcher Druck entsteht, lässt sich nichts mehr vertuschen – und es passiert etwas, und zwar schnell. Die Öffentlichkeit hat einen Anspruch darauf zu erfahren, dass die Zertifikate möglicherweise gefährdet sind. Die Apotheken trifft keine Schuld, den Apothekenverband schon. Der hätte das System sicherer aufstellen müssen.