Digitalen Impfzertifikate: Apotheken müssen weiter warten

Nachdem die Sicherheitsexperten André Zilch und Martin Tschirsich massive Sicherheitslücken im Zertifizierungsprozess von Apotheken für die Ausstellung digitaler Impfzertifikate offengelegt hatten, zog der Deutsche Apothekerverband (DAV) die Reißleine und schaltete das Zertifikate-Modul in der vergangenen Woche kurzerhand ab. Eigentlich sollten die Probleme bis Montag behoben sein, doch auch am heutigen Mittwoch arbeitet man noch an der Absicherung.

Es dauert noch
Laut DAV können sich die angeschlossenen Apotheken täglich Informationen über den aktuellen Stand der Entwicklungen zu den digitalen Impfzertifikaten über das Dashboard im DAV-Portal besorgen. Man arbeite zusammen mit dem Bundesgesundheitsministerium, Gematik, IBM und dem Robert-Koch-Institut unter Hochdruck an einer technischen Lösung. Die Ausstellung digitaler Impfzertifikate solle schnellstmöglich wieder anlaufen. Erste Tests seien in Vorbereitung. Die Apotheken müssen demnach nichts tun außer abwarten und ihre Kunden vertrösten.

Schwere Vorwürfe der Sicherheitsexperten
In einem Interview mit der Deutschen Apotheker Zeitung (DAZ) erheben Zilch und Tschirsich schwere Vorwürfe. Sie hätten schon seit längerer Zeit den Verkauf gefälschter Impfzertifikate zu Preisen von 150 bis 300 Euro beobachtet und festgestellt, dass diese allesamt über das DAV-Portal erstellt wurden. Doch sowohl die Verantwortlichen beim DAV als auch in der Politik hätten alle Warnungen in den Wind geschlagen, weshalb sie den Beweis in der Praxis erbringen mussten. Und das gelang noch leichter als gedacht.

Von professionell gefälschten Dokumenten, wie der DAV in seiner Stellungnahme behauptet, könne keine Rede sein. Tatsächlich habe man am Sonntagabend eine Betriebserlaubnis und eine Bescheinigung des Nacht- und Notdienstfonds aus Google-Funden zusammengebastelt und über eine anonyme E-Mail-Adresse an den DAV geschickt. Die geforderte Telematik-ID hatte die erforderliche Länge, war ansonsten aber frei erfunden. Unter der postalischen Adresse der angeblichen Apotheke existiert nur ein Mehrfamilienhaus, dennoch kam bereits am Dienstag der Zugangscode per Post.

Da Fachmann staunt, der Laie auch
Kurzum: Beim DAV fand keine ausreichende Plausibilitätsprüfung durch Mitarbeiter statt und nicht einmal die Telematik-ID wurde verifiziert. So etwas kann man zwar als Sicherheitslücke bezeichnen, es klingt aber mehr nach Schlamperei auf ganzer Linie. Hier muss strukturell so einiges im Argen liegen, schließlich geht es um nicht weniger als die Erstellung offizieller Dokumente und nicht um eine Anmeldung zur Kuchenspende für den nächsten Basar der Kirchengemeinde.

Und es kommt noch schlimmer: Da alle Apotheken den selben Schlüssel benutzt haben, ist es im Nachhinein nicht möglich, einzelne Zertifikate bzw. die durch bestimmte Apotheken ausgestellten Zertifikate zurückzuziehen. Wie ein solcher konzeptioneller Fehler von den Verantwortlichen durchgewunken werden konnte, ist schier unbegreiflich. Nun steht man vor der Wahl, entweder alle Impfzertifikate für ungültig zu erklären oder die im Umlauf befindlichen Fälschungen in Kauf zu nehmen. Das ist nicht mehr als die Wahl zwischen Pest und Cholera.