Covid-Impfzertifikate: Portal für Apotheken gesperrt

Sicherheit (Pexels, allgemeine Nutzung)Es ist möglicherweise ein Stopp mit Ansage: Die deutschen Apotheken können momentan keine Impfzertifikate für COVID-19-Impfungen mehr ausstellen. Das betreffende Portal wurde schlicht gesperrt, weil das Handelsblatt Sicherheitslücken im Online-Portal aufgedeckt hat. Phantasie-Apotheken konnten sich einen Gastzugang erschleichen und beliebige digitale COVID-19-Impfzertifikate ausstellen. Mir liegt aber auch eine Information vor, dass es wohl mindestens einen dubiosen Fall gibt, wo mit diesem gefälschten Zertifikaten gehandelt wurde. Und das alles in der Hauptreisezeit, wo die Leute eine COVID-19-Pass als Geimpfte haben wollen.


Anzeige

Die Tagesschau hat es bereits gestern berichtet, dass das Online-Portal, über welches die deutschen Apotheker die COVID-19-Impfzertifikate ausstellen konnten, seit Mittwoch gesperrt sei. Der Deutsche Apothekerverband (DAV) hat sich nach Abstimmung mit dem Bundesgesundheitsministerium dazu entschlossen, die Ausgabe der Zertifikate zu stoppen. Dazu heißt es in einer Stellungnahme des DAV:

Die Apothekerverbände haben im Rahmen von www.mein-apothekenportal.de innerhalb kürzester Zeit eine technische Infrastruktur aufgebaut, über die Apotheken vor Ort digitale Impfzertifikate erstellen können. Damit konnte dem drängenden Wunsch großer Teile der Bevölkerung nach einer zügigen Ausstellung dieser Zertifikate gerade in der Urlaubszeit entsprochen werden.

Die Portallösung war zunächst für Apotheken vorgesehen, deren Inhaber Mitglieder in den Landesapothekerverbänden sind. Da deren aktuelle Daten im Mitgliederverzeichnis gelistet sind, war und ist eine zweifelsfreie und sichere Authentifizierung dieser Apotheken auf dem Portal jederzeit gewährleistet.

Aufgrund wettbewerbsrechtlicher Anforderungen wurde für Apotheken, die keine Mitglieder in einem Landesapothekerverband sind, aber an der Ausstellung von Impfzertifikaten teilnehmen wollten, ein Gastzugang geschaffen.

Von den knapp 17.900 auf dem Portal registrierten Apotheken sind allerdings nur ca. 3 % bzw. 470 Apotheken über den Gastzugang angeschlossen. Nicht-Mitglieder müssen für eine erfolgreiche Registrierung ihre amtliche Betriebserlaubnis und einen aktuellen Bescheid des Nacht- und Notdienstfonds zum Nachweis eines laufenden Betriebs vorlegen.

Nun berichtete das Handelsblatt darüber, dass unabhängige IT-Spezialisten einen Gastzugang erzeugen konnten, der mithilfe von professionell gefälschten Dokumenten für einen nicht existierenden Apothekeninhaber (Sonnen-Apotheke) erzeugt wurde. Dazu wurden eine gefälschte Betriebserlaubnis und ein gefälschter Bescheid des Nacht- und Notdienstfonds vorgelegt. Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt.

Nach einer entsprechenden Information durch das Handelsblatt hat der Deutsche Apothekerverband in Rücksprache mit dem Bundesgesundheitsministerium die Ausstellung von Zertifikaten letzten Mittwoch gestoppt. Ziel ist es, zusätzlich zu der ohnehin mehrfach pro Woche laufenden Überprüfung der über Gastzugänge angemeldete Betriebsstätten eine weitere Prüfung vorzunehmen.

Laut DAV hat diese Überprüfung bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben, deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar sei. Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden, meint der DAV. Zitat des DAV:


Anzeige

Es wird geprüft, ob bzw. welche zusätzlichen Sicherheitsmechanismen gegen Missbrauch implementiert werden können oder sollen. Wann die Ausstellung von Zertifikaten wieder aufgenommen wird, steht noch nicht fest, der DAV befindet sich im engen Austausch mit dem Bundesgesundheitsministerium.

heise hat hier ein wenig mehr über die Schwachstelle berichtet. Letztendlich ist es Sicherheitsforschern sich mit gefälschten Dokumenten einen Gastzugang als "Apotheke" zu erschleichen. Aufmerken lässt dieser Artikel von watson.ch, dass dubiose Händler im Internet echte digitale COVID-19-Impfzertifikate an Leute ohne Impfung verkaufen. Das deutet darauf hin, dass es irgendwo noch eine Lücke oder eine Fake-Apotheke gibt. Das sieht nicht sonderlich gut aus.

Inzwischen ist unklar, wie lange diese Aussetzung andauert, man geht aber davon aus, dass die bisher ausgestellten 25 Millionen Impfzertifikate alle von rechtmäßig registrierten Apotheken stammen. Wenn der watson.ch-Artikel aber stimmt, trifft genau dies nicht zu. Die Impfzentren der Bundesländer stellen bei den Impfungen weiterhin digitale Impfzertifikate aus. Diese sind dann mit Sicherheit nicht gefälscht.

Unter dem Strich hat eine fehlende Digitalisierung der Apotheken, ein Kompetenzdurcheinander und der Hang zur Perfektion nun dazu geführt, dass kein Geimpfter mehr ein Impfzertifikat durch die Apotheken vor Ort erhalten kann. Wer es auf ein gefälschtes Zertifikat anlegt, kann dieses im Internet für wenige Euro kaufen.

Ergänzungen: Das Redaktionsnetzwerk Deutschland (RND) berichtet in diesem Artikel, dass Apotheken ab nächster Woche wieder Impfzertifikate ausstellen. Das Ganze soll aber schrittweise passieren, wie das Bundesgesundheitsministerium der Deutschen-Presse Agentur am Freitag mitteilte. Bei den Kollegen von Golem findet sich die Information, dass einzelne digitale Impfpässe nicht zurückgezogen werden können, weil nur ein zentraler Schlüssel zum Signieren verwendet wird. Bei Problemen müssten alle Zertifikate zurückgerufen werden. Schöne neue Welt. 


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Covid-Impfzertifikate: Portal für Apotheken gesperrt

  1. Anonymous sagt:

    Das Apothekenportal soll Montag wieder geöffnet werden.
    Viel heftiger in Niedersachsen haben zwei Ärztr Impfungen im Pass eingetragen obwohl sie nicht geimpft haben

  2. 1ST1 sagt:

    Viel schlimmer ist doch, dass einzelne Zertifikate, bzw. die von einer bestimmten Apotheke nicht zurück gezogen sind, weil alle 25 Mio Zertifikate mit dem gleichen Haupt-Zertifikat signiert sind. Kann man bei golem.de lesen.

  3. Dat Bundesferkel sagt:

    Putzig fand ich ja eher die Äußerung der Betreiber, daß die "Journalisten daran Schuld seien", daß das Portal gänzlich geschlossen wurde.

    Bloß immer jedwede Schuld von sich weisen… klar, bei denen ist kein Mißbrauch denkbar, die sind unfehlbar – darum gibt es im Darknet auch an jeder Ecke gefakte Nachweise.

    Mittlerweile kann Deutschland nicht nur kein Internet (siehe Kommentar von 1ST1), sondern hat sogar eine einstige Tugend der gründlichen Prüfung verloren (siehe Authentizität einer Apotheke).

  4. Ralf S. sagt:

    Irgendwie alles nur noch der blanke Horror inzwischen… "Digitalisierung first, Bedenken second!" Ich weiß, ist abgedroschen inzwischen, aber diese Aussage des Frontmannes der gelben Partei, steht doch irgendwie als Synonym für die ganze Misere, wie wir sie gerade überall, immer wieder und vor allem immer heftiger, vorfinden. Dabei wurde und wird uns doch immer wieder gesagt, dass durch die Digitalisierung alles besser, schneller, effizienter und vor allem (fälschungs)sicherer wird… Entlockt mir inzwischen nur noch ein müdes Lächeln und Gähnen, wenn ich solche euphorischen Aus- und Ansagen höre. ;-) Der "digitale Zug", der natürlich ganz modern, total autonom und führerlos unterwegs ist, rast gerade mit Höchstgeschwindigkeit auf einem toten Gleis dahin…!

    Aber Hoffnung besteht doch: Es mehren sich die Stimmen diverser Experten nach dem IT-Supergau des Kreises Anhalt-Bitterfeld, dass man für die Zukunft "die wirklich wichtigen Dinge" besser wieder in vom allgemeinen www abgeschotteten Netzen verwalten sollte und, dass man sich überlegen sollte, ob man für die "GANZ wichtigen Dinge" nicht sogar wieder öfters "Papier und Bleistift", sowie die ollen Aktenordner verwendet…
    Ach ja, im Zusammenhang mit den aktuellen Unwettern, wurden auch wieder Stimmen laut, dass man die noch vorhandenen Warnsirenen"pilze" auf den Dächern wieder reaktivieren solle und dort, wo sie zwischenzeitlich aufgrund der Digitalisierung abgebaut wurden, doch evtl. besser wieder aufbauen sollte… Altbewährtes muss halt doch nicht unbedingt schlecht(er) sein…

    • Dat Bundesferkel sagt:

      "Altbewährtes muss halt doch nicht unbedingt schlecht(er) sein…"

      Das ist tatsächlich so eine völlig dümmliche Denke der gegenwärtigen Entscheidungsträger (und geistig eher Unterbelichteten).

      "Wie kann man nur sowas Altes einsetzen, neu ist doch viel besser. Kann man mehr mit machen!" – ja, stimmt ja auch… so lange es eben funktioniert. Es spricht doch gar nichts dagegen, oldschool-Technik und moderne Lösungen parallel zu betreiben.

      Ist doch beim Radio nicht anders: Uns wird der DAB/IP-only-Mist irgendwann um die Ohren fliegen – eine MW/FM-Lösung sollte fortwährend bereitstehen.
      Der DAB-Empfang ist in meinem Aktionsradius übrigens immer noch als mehr als nur bescheiden zu bezeichnen. Und im worst case könnte ich auf die Schnelle kein DAB-Empfangsgerät aus Bauteilen zusammenschustern – ganz im Gegensatz zu einem MW/FM-Gerät.

      Dass Katastrophen in Deutschland nicht vorkämen… nun, da wurden wir (wieder mal) eines Besseren belehrt.
      Und wieder gibt es warme Worte in der Politik. Und wieder gibt es die Versprechen, alles besser machen zu wollen (wie beim Test letzten Jahres). Und wieder wird nichts, absolut rein gar nichts geschehen.

      Die Bahn jammert zu "gößten Schäden" aller Zeiten, freut sich aber über die bevorstehenden Neubauten (besser, neuer, toller!). Ebenso die Immobilienbesitzer, die ebenfalls keine Genehmigungen für Modernisierungen mehr brauchen.

      Von den Verstorbenen hört man nur alibi-technisch ganz beiläufig.

      Da kommt man aus dem Kübeln nicht mehr raus.

  5. Tim sagt:

    "man geht aber davon aus, dass die bisher ausgestellten 25 Millionen Impfzertifikate alle von rechtmäßig registrierten Apotheken stammen"

    Oh mein Gott… aber ja, wer hats nicht so kommen sehen?
    Immer dieses Flickwerk um "tolle Ideen" zu verkaufen. Das hat Tradition…

    Und dann kommt die Realität um die Ecke.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.