Gastzugänge ließen sich missbrauchen
Digitale Impf-Zertifikate: Apotheken stoppen Ausstellung
Erst vor zwei Wochen informierte die Bundesvereinigung Deutscher Apothekerverbände (ABDA) darüber, dass sich nun auch Genesene mit Nachimpfung ein digitales Impf-Zertifikat in der Apotheke abholen konnten. Einen Monat zuvor hatten die Apotheken bereits mit der Ausstellung der regulären, digitalen Impfzertifikate begonnen und damit ein durchgehend positives Feedback geerntet.
In den sozialen Netzwerken wurde zwar die Höhe der Vergütung kritisiert, die die Apotheken vom Bund für die Konvertierung der analogen Impfzertifikate in QR-Codes zur digitalen Sicherung bekamen, das eigentliche Umschreiben funktionierte, von einzelnen Ausnahmen abgesehen, jedoch tadellos.
Gastzugänge ließen sich missbrauchen
Doch damit ist nun vorerst Schluss. Wie die ABDA am Donnerstag mitgeteilt hat werden aktuell keine Impfzertifikate mehr über die Server des Deutsche Apothekerverband ausgestellt. Ausschlaggebend dafür seien Lücken in der aufgebauten Server-Infrastruktur. Gastzugänge für Apotheken, die keine Mitglieder in einem der Landesapothekerverbände sind, könnten durch Dritte ausgenutzt und zur Erzeugung von digitalen Impf-Zertifikaten eingesetzt werden, ohne dass dafür eine entsprechende Impfung vorliegen müsse.
Das Handelsblatt hatte als erstes auf die Schwachstelle aufmerksam gemacht, die die IT-Sicherheitsexperten André Zilch und Martin Tschirsich aufgedeckt hatten. Diesen war es gelungen sich „mithilfe von professionell gefälschten Dokumenten für einen nicht existierenden Apothekeninhaber“ einen Gastzugang zum Server-System der Apotheken zu verschaffen und diesen für die Ausstellung von digitalen Impfzertifikaten auszunutzen.
Laut ABDA seien derzeit zwar keine anderen Fälle bekannt, man habe die Ausstellung der digitalen Impf-Zertifikate jedoch vorsorglich gestoppt um die bislang ausgestellten Gastzugänge zu überprüfen.
Nach einer entsprechenden Information durch das Handelsblatt hat der Deutsche Apothekerverband in Rücksprache mit dem Bundesgesundheitsministerium die Ausstellung von Zertifikaten am gestrigen Mittwoch gestoppt, um zusätzlich zu der ohnehin mehrfach pro Woche laufenden Überprüfung der über Gastzugänge angemeldete Betriebsstätten eine weitere Prüfung vorzunehmen. Diese hat bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben, deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist. Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden.