System gehacktFalsche Apotheke kann echte Impfzertifikate erstellen

Hacker haben sich mit einer erfundenen Apotheke in das Zertifikat-System eingeschlichen und echte Impfnachweise erstellt. Sie wollten auf Sicherheitsmängel hinweisen. Der Apothekerverband hat das Portal erstmal komplett abgeschaltet.

Smartphone mit digitalem Impfnachweis in der Corona-Warn-App liegt auf einem gelben Impfpass mit Comirnaty-Aufklebern.
Praktisch, aber leider nicht immer echt: der digitale Impfnachweis. – Alle Rechte vorbehalten IMAGO/Manngold

Apotheken können deutschlandweit aktuell keine digitalen Impfzertifikate mehr ausstellen. Aufgrund einer Sicherheitslücke hat der Deutsche Apothekerverband (DAV) die Ausgabe der Zertifikate über sein Webportal abgeschaltet. Zwei IT-Sicherheitsexperten war es gelungen, sich mit einer fiktiven Apotheke im Portal des Verbands zu registrieren und gültige Impfzertifikate zu erstellen. 

Um die Impfnachweise ausstellen zu können, müssen sich Apotheken in einem Portal des Deutschen Apothekerverbands registrieren. Für Mitglieder der Landesapothekerverbände hat der Bundesverband Daten vorliegen, um die Identität der Apotheker:innen zu überprüfen. Aus wettbewerbsrechtlichen Gründen habe man das Portal aber auch für Nicht-Mitglieder öffnen müssen, erklärt der Verband in einem Statement.

Zugang zum Webportal ohne technisches Know-How

Etwa 470 Apotheken, die nicht Mitglied in ihrem Landesapothekerverband sind, haben diesen Zugang bekommen und können Impfnachweise ausstellen. Diese Apotheken tauchen nicht in den Registern des Bundesverbands auf. Sie müssen deshalb ihre Betriebserlaubnis und einen Aktivitätsnachweis, etwa in Form von Abrechnungen oder einem Bescheid des Nacht- und Notdienstfonds, vorlegen, um Zugriff auf das Webportal zu erhalten. 

Wie die IT-Sicherheitsexperten Martin Tschirsich und André Zilch jetzt gezeigt haben, ist es ohne technisches Know-How problemlos möglich, diese Dokumente zu fälschen und so Zugang zum Portal zu bekommen. Die Experten erfanden eine fiktive „Sonnen-Apotheke“, erstellten mit Bildbearbeitung die nötigen Dokumente und gaben eine beliebige Zahlenfolge als Telematik-ID an. Diese ID benötigen Apotheken normalerweise, um sich mit der Telematikinfrastruktur zu verbinden und so mit anderen Akteur:innen des Gesundheitssystems zu kommunizieren und Daten auszutauschen. Diese ID wird laut Martin Tschirsich aber bei der Anmeldung gar nicht geprüft. Deshalb kamen die Experten mit einer beliebigen Zahlenfolge bei der Anmeldung durch.

Nach zwei Tagen erhielten die falschen Apotheker den Zugang zum Portal und konnten Impfnachweise mit beliebigen Namen und Impfterminen ausstellen. Die Überprüfungsapp „CovPass Check“ des Robert Koch-Instituts erkannte die Zertifikate als echten Impfnachweis an. Die Sicherheitslücke könnte also genutzt werden, um nicht geimpften Menschen ein gültiges Impfzertifikat auszustellen und ihnen damit Reisen innerhalb der EU und den Besuch von Großveranstaltungen ohne Testnachweis ermöglichen, was das Infektionsrisiko erhöhen könnte.

Auf Anfrage von netzpolitik.org kritisiert Martin Tschirsich, dass der Impfzertifikatdienst des Apothekerverbands kurzfristig an das Internet-Portal angeschlossen wurde: „Damit einher ging ein Verzicht auf ursprünglich auch vom Gesundheitsministerium geforderte Sicherheitsmaßnahmen wie eine Zwei-Faktor-Authentisierung.“ Eigentlich sollten die Nachweise in den Apotheken über die Telematikinfrastruktur erstellt werden. Nur aus Zeitgründen habe man beim Apothekerverband darauf verzichtet: „Die notwendigen Komponenten für die Ausstellung von Impfzertifikaten über die Telematik-Infrastruktur stehen bereit und werden auf Seiten der Ärzteschaft bereits genutzt. Die Apotheker müssten hier lediglich nachziehen.“

Deutsche Impfnachweise auf dem Schwarzmarkt erhältlich

Als Reaktion auf die Enthüllung schaltete der Apothekerverband das Portal ganz ab. Apotheken können also aktuell keine neuen Zertifikate ausstellen. Die über 25 Millionen in Apotheken ausgegebenen Impfnachweise behalten aber ihre Gültigkeit. Und das, obwohl nicht sichergestellt ist, dass alle von echten Apotheken ausgestellt wurden. IT-Experte Zilch fordert deshalb im Handelsblatt, alle von den Apotheken ausgestellten Nachweise für ungültig zu erklären.

Einzelne Zertifikate, die von einer Apotheke unrechtmäßig herausgegeben worden sind, könne man nicht für ungültig erklären, so Tschirsich: „Die notwendigen Sperrmechanismen existieren einfach nicht. Die über den von uns erschlichenen Zugang ausgestellten Zertifikate werden daher in der CovPassCheck-App weiterhin als gültig anerkannt.“

Die Schweizer Ausgabe von Watson berichtete bereits vor einer Woche über das Problem mit gefälschten deutschen Impfzertifikaten. Die Redaktion hat nach eigenen Angaben Einblicke in den Handel mit gefälschten, aber gültigen deutschen Impfzertifikaten über Messenger-Dienste bekommen. In weniger als 30 Minuten könne man sich für 150 Schweizer Franken, umgerechnet etwa 138 Euro, ein EU-weit gültiges digitales Impfzertifikat als PDF besorgen.

Die Autoren des watson-Artikels vermuteten einen „missbräuchlichen Zugriff“ auf das Portal des Apothekerverbands als Ursprung der Zertifikate. Der Verband hatte damals bestritten, dass es eine Sicherheitslücke gebe und begründete das damit, dass nur „der Inhaber oder oder die Inhaberin der Apotheke und die durch sie angelegten Mitarbeitenden Zugriff aufs System“ hätten. Dass eine komplette Apotheke erfunden sein könnte, zog man damals offensichtlich nicht in Erwägungen.

Diese Haltung kritisiert Tschirsich gegenüber netzpolitik.org: „Weder für den DAV noch für Dritte kam diese Sicherheitslücke überraschend. Irgendwoher müssen die seit Wochen auf Telegram gehandelten und über das DAV-Portal ausgestellten Impfzertifikate ja stammen. Der DAV hätte allerdings die Warnung von G Data oder Watson ernst nehmen müssen.“

Impfzentren und Arztpraxen nicht betroffen

Der Apothekerverband hat laut eigener Aussage die über Gastzugänge angemeldeten Apotheken nach Bekanntwerden der Sicherheitslücke überprüft und keine Hinweise auf Missbrauch gefunden. Wie trotzdem gültige, aber gefälschte deutsche Impfzertifikate auf dem Schwarzmarkt landen konnten, erklärt der Verband in seinem Statement nicht.

Dem Gesundheitsministerium zufolge sollen die Apotheken ab Anfang nächster Woche nach und nach wieder Zugang zum Webportal bekommen. Man habe bei der Überprüfung keinen Betrug feststellen können. Man arbeite aber daran, den Prozess der Zertifikatserstellung in die Telematikinfrastruktur einzubinden und damit sicherer zu machen.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk kündigte dem Handelsblatt gegenüber an, den Vorfall zu prüfen.

7 Ergänzungen

  1. Hallo netzpolitik, Ich bekomme sogar vertrauliche Arztbriefe und Personaldokumente in den briefkasten, wegen Adressfehlern bei den Absendern.

  2. Es musste ja alles wieder schnell schnell gehen und sowas kommt dan dabei heraus.
    Hätte man , was ja durchaus möglich gewesen wäre, die Informationen über die Impfung auf die Gesundheitskarte gespeichert , hätte man jetzt kein Problem und alles wäre sowiso viel einfacher gewesen. Warum nutzen wir nicht vorhandene Möglichkeiten ( Gesundheitskarte) sondern brauchen für alles irgendetwas neues, dass dann auch noch auf die Schnelle und deshalb ungenügend umgesetzt werden muss.

    1. @flauschie
      Das ist leider keine wirklich praktikable Möglichkeit, es besteht nämlich dann für Konzertveranstalter, Gastronomen etc. keine Möglichkeit das Impfzertifikat zu prüfen, da diese (zum Glück) keine Hard und Software besitzen um Daten auf Gesundheitskarten auszulesen.

    2. @flauschie
      Das ist leider keine wirklich praktikable Möglichkeit, es besteht nämlich dann für Konzertveranstalter, Gastronomen etc. derzeit keine Möglichkeit das Impfzertifikat zu prüfen, da diese (zum Glück) keine Hard und Software besitzen um Daten auf Gesundheitskarten auszulesen.

  3. Warum kann man nicht einfach ein Foto von dem Antragsteller / Geimpften mit seinem Handy machen und dieses in den Qr Code mit einfügen. Wäre doch dann schon mal ein weiterer Schritt zur Fälschungssicherheit.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.