Gastzugänge ließen sich missbrauchen
Digitale Impf-Zertifikate: Apotheken stoppen Ausstellung
Erst vor zwei Wochen informierte die Bundesvereinigung Deutscher Apothekerverbände (ABDA) darüber, dass sich nun auch Genesene mit Nachimpfung ein digitales Impf-Zertifikat in der Apotheke abholen konnten. Einen Monat zuvor hatten die Apotheken bereits mit der Ausstellung der regulären, digitalen Impfzertifikate begonnen und damit ein durchgehend positives Feedback geerntet.
In den sozialen Netzwerken wurde zwar die Höhe der Vergütung kritisiert, die die Apotheken vom Bund für die Konvertierung der analogen Impfzertifikate in QR-Codes zur digitalen Sicherung bekamen, das eigentliche Umschreiben funktionierte, von einzelnen Ausnahmen abgesehen, jedoch tadellos.
Gastzugänge ließen sich missbrauchen
Doch damit ist nun vorerst Schluss. Wie die ABDA am Donnerstag mitgeteilt hat werden aktuell keine Impfzertifikate mehr über die Server des Deutsche Apothekerverband ausgestellt. Ausschlaggebend dafür seien Lücken in der aufgebauten Server-Infrastruktur. Gastzugänge für Apotheken, die keine Mitglieder in einem der Landesapothekerverbände sind, könnten durch Dritte ausgenutzt und zur Erzeugung von digitalen Impf-Zertifikaten eingesetzt werden, ohne dass dafür eine entsprechende Impfung vorliegen müsse.
Das Handelsblatt hatte als erstes auf die Schwachstelle aufmerksam gemacht, die die IT-Sicherheitsexperten André Zilch und Martin Tschirsich aufgedeckt hatten. Diesen war es gelungen sich „mithilfe von professionell gefälschten Dokumenten für einen nicht existierenden Apothekeninhaber“ einen Gastzugang zum Server-System der Apotheken zu verschaffen und diesen für die Ausstellung von digitalen Impfzertifikaten auszunutzen.
Laut ABDA seien derzeit zwar keine anderen Fälle bekannt, man habe die Ausstellung der digitalen Impf-Zertifikate jedoch vorsorglich gestoppt um die bislang ausgestellten Gastzugänge zu überprüfen.
Nach einer entsprechenden Information durch das Handelsblatt hat der Deutsche Apothekerverband in Rücksprache mit dem Bundesgesundheitsministerium die Ausstellung von Zertifikaten am gestrigen Mittwoch gestoppt, um zusätzlich zu der ohnehin mehrfach pro Woche laufenden Überprüfung der über Gastzugänge angemeldete Betriebsstätten eine weitere Prüfung vorzunehmen. Diese hat bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben, deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist. Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden.
Da kann man nur den Kopf schütteln
Sprich, es geht um evtl. zu Unrecht erstellte Zertifikate, aber meines ist nicht weiter von einem „Leck“ oder einer“Gefahr“ betroffen, aight?
So oder so, natürlich richtig, erst mal dicht zu machen. Wenn auch unglücklich, das ist klar..
Da alle Apotheken das Gleiche Wurzel-Zertifikat zum ausstellen benutzt haben, kann man nicht einzelne Apotheken nachträglich revoken.
Es ist mit der heißen Nadel gestrickt. Da war wohl keine Zeit jeder Apotheke ein anderes Zertifikat zu geben.
Einfach nur dilettantisch umgesetzt.
Wo geht man denn jetzt hin, wenn man noch so ein Zertifikat braucht?
Das frage ich mich auch…
Ich stand gestern auch in der Apotheke und nichts ging. In den Nachrichten gestern Abend hab ich dann gesehen woran es liegt :(
allerdings frage ich mich, warum man nicht einfach die 470 Gastzugänge deaktiviert. Alle „normalen“ ~17000 Zugänge sind ja nicht davon betroffen.
zum arzt der sie geimpft hat… oder ihr hausarzt kann das auch nachträglich machen.
Nein, Hausärzte können das nicht.
Komisch, warum hab ich das dann von unserem Arzt bekommen?
@iBen, schlicht falsch, Hausärzte können das schon, viele wollen es aber nicht, da der Aufwand einfach zu hoch ist und die Vergütung für Ärzte bei 2€ bzw. 6€ liegt.
Die meisten HA sagen somit das sie sich den Stress nicht noch extra in die Praxis holen.
Geht auch nur beim Hausarzt wenn er an die Telematik Infrastruktur angeschlossen ist. Oder in selten Fällen haben die das auch über das Apotheken Netzwerk gemacht.
Sorry, dann hatte mir mein Arzt tatsächlich Blödsinn erzählt.
Die bekommen 12€ für. Egal ob Apotheker oder Ärzte. Die Ärzte sind sich aber zu fein dafür.
Nö. Richtig Geld gibt es nur wenn Impflinge nicht in der Praxis geimpft worden sind, jetzt aber ein Zertifikat wollen. Ansonsten sind das leider nur Peanuts. Wobei man fairerweise sagen muss das dafür ja gut an den beiden Impfungen verdient worden ist. Es gleicht sich also aus.
Warten oder Hausarzt.Bzw wenn bayrisches Impfzentrum, ist es im Online Account hinterlegt.
Man braucht so ein Zertifikat übrigens nicht, der gelbe Imfpass wird überall anerkannt. Ein nettes Goddie und definitiv schade, dass es aktuell nicht geht, aber mehr auch nicht.
Naja, du hast noch den gelben Impfausweis. Der reicht dicke
Aber woher bekomme ich denn dann nun stattdessen den „digitalen Impfpass“?
dort wo sie geimpft wurden oder ihr hausarzt kann das auch nachträglich machen
Nein, bisher haben das nur die Impfzentren direkt oder Apotheken gemacht. Hausarztpraxen haben bisher keinen Zugang.
@heldausberlin
Ich habe beide Zertifikate direkt bei der zweiten Impfung von dem Hausarzt mitbekommen.
Und was hab ich dann von meinem Hausarzt bekommen? Ein digitales Fake-Zertifikat?
Unsinnn
@HESSENbabbler alles klar, sorry. Mir hatte mein Arzt erzählt, Hausärzte hätten dafür keinen Zugang. Aber dann war das wohl Unwissen des Arztes.
Aha, was war das was ich von meinem Hausarzt bekommen habe? Ein Payback Gutschein?
Blockchain und gut ist… aber ist ja Neuland
Blockchain ist buzzword-Blödsinn. Zertifikate reichen komplett. Krypthografisch Signiert und Mathematisch Validierbar. Alle Probleme die hier genannt werden sind keine die durch eine Blockchain gelöst werden.
Eine Blockchain ist eine Datenbank ohne zentrale vertrauensinstanz. Für impfzertifikate gilt hingegen das Gesundheitsamt als Vertrauensinstanz.
Was ist bessr als eine Blockchain? Fünf Blockchains!
+1 ;-)
ein DAO
(IOTA)
Einfach mal abwarten und solange dieses verrückte gelbe analoge Dings verwenden :)
Das Telefonbuch? ;-)
wollte ich gestern digitalisieren lassen. apothekerin war ahnungslos. 5 mins später kams in den nachrichten. jez liegt mein impfausweis da mal auf halde.
wie aus millionen an geldern für die entwicklung solcher systeme so dillentantisch ausgeführte projekte werden, ist für mich unvorstellbar.
hoffentlich bekommen die das schnell wieder in den griff. vielleicht sogar vor der 20. welle im herbst 2035 xD
Tja, was soll man sagen. Hochindustrieland Deutschland. ;) ;) ;)
„Hochindustrie“ bedeutet mit dem Hammer wo drauf schlagen, digital ist da etwas feiner : D
Die Impfportale mancher Länder stellen es online zur Verfügung. Niedersachsen funktioniert super. Allerdings nur wenn in einem Impfzentrum geimpft wurde.
Möglichkeit zum Gastzugang erst mal sperren, Problem gelöst. Oder etwa nicht?
Das Fälschen von Dokumenten (Urkundenfälschung) ist ein Straftatbestand und in diesem Fall wurden lediglich zwei Dokumente gefälscht um Zugang zu einem System zu bekommen. Durch entsprechend professionell gefälschte Dokumente kann ich vermutlich überall Zugang bekommen. Damit kann ich in einer Klinik als Arzt anfangen, als Journalist beim Handelsblatt etc.
In der Abwägung besteht für mich hier keine Sicherheitslücke. Der Aufwand zur Fälschung der hier genutzten Dokumente ist sicher deutlich höher als der Aufwand zur Fälschung von Impfbuch-Einträgen, d.h. jemand der Impfzertifikate haben möchte fälscht das Impfbuch und geht dann in eine Apotheke und erschleicht sich nicht Zugang zu dem Portal zur Ausstellung von Impfzertifikaten.
Nein, zum Fälschen des Impfpasses/Impfzertifikats benötigt man gültige Chargennummern, die noch nicht vergeben wurden. So einfach ist das nicht.
Es gab bereits Fälle in Impfzentren, wo Ärzte die ungeimpften Chargennummern entwendet hatten, um unter der Hand Ungeimpften Impfzertifikate auszustellen. Da inzwischen diese Chargennummernzettel aber akribisch kontrolliert werden, ist auch das aufgeflogen.
Wenn du wüsstest zu welchen Preisen diese Zertifikate auf Telegram gehandelt werden…
+1
@msp: Ich will um Gottes Willen keins haben (da doppelt geimpft), aber kannst Du mal ein Preisbeispiel nennen? Hab bislang noch nix dazu gelesen.
Also kurz der Fehler liegt eindeutig bei der DAV die Unmengen an Steuergelder abgreifen durch die Ausstellung, aber zu „doof“ die Unterlagen ordentlich zu prüfen bevor mein einen Zugang vergibt!?
Wäre ein Fall für die Blockchain und NFT als Impfzertifikat.
Es ist kein Problem mit dem Zertifikat (außer, dass man es nicht so einfach revoked kann).
Es ist ein Problem mit dem Apothekensystem wo jeder mit „gefälschten“ Dokumenten eine Apotheke einrichten kann. Das kann man auch auf anderer Ebene weiterspinnen von „Empfehlungen“ bis hin zu „Bestellungen von kritischen Medikamenten“. Da ist ein solches Zertifikat (was anscheinend ohnehin nur sehr stiefmütterlich kontrolliert wird) eher eine Nebensache!
Tja, zunächst sollte das ganze System auch nur für die 17.000 Mitgliedsapotheken des DAV zur Verfügung stehen. Erst durch das Gejammer der übrigen 450 wurde es für Gastzugänge geöffnet.
Und wer so viel kriminelle Energie aufbringt, sich entsprechende Dokumente professionell zu fälschen, kann auch alles andere anstellen, als Impfzertifikate auszustellen.
Das Handelsblatt hat hier eine Lücke entdeckt, wie es sie überall gibt. Mit einer (gefälschten) beglaubigten Urkunde kann ich auch Konten anlegen und mich als Arzt bewerben. Sperrt man nun Girokonten in ganz Dtl.?
Eigentlich eine Null-Info und absolut kein Grund das System offline zu nehmen.
+1
Das Problem ist das die DAV anscheinend beim Erstellen nichtmal die Kennung geprüft hat und die Sicherheitsexperten irgendeine Zufällige Nummer aufgeschrieben haben.
Das ist schon grobfahrlässig … mit der gefälschten Urkunde gebe ich dir aber Recht.
Ja, da wurde geschlampt. Keine Frage.
Lustig finde ich nur, dass das Handelsblatt sich nun als investigatives IT-Blatt feiern lässt. Das hat mit IT-Sicherheit einfach mal wenig zu tun. Da wurde nix gehackt.
Das ist so ähnlich, wie wenn ich Touch ID am iPhone mit dem Finger eines Schlafenden überliste.
Warum es zB kein Zertifikat pro Apotheke gibt, ist die eig. Frage. Dann könnte man auch spezieller einzelne schwarze Schafe aussortieren, wenn man bemerkt, dass diese zB falsche QR-Codes ausstellen.
Da bin ich ja froh in der schweiz zu sein.. Da klappt das tiptop mit den Zertifikaten, und man kann es sogar jeder zeit erneut über ein Browser login downloaden
Du lebst auch in der Schweiz und nicht in der Bananenrepublik Deutschland:-)
Tja, die gute Schweiz alles ist besser… oder doch nicht… Volksabstimmungen über Grundrechte, fragwürdig, mal so ein Beispiel.
Auch wenn ich nicht froh bin über das Resultat.. aber ist halt ne Demokratie wo die Mehrheit entscheidet.. Und wenn man anderer Meinung ist als die Mehrheit, muss man das halt akzeptieren, auch wenn es manchmal schwer ist (Konserverantwortung, co2, Grundeinkommen, Burka verbot, Militärflieger, Minaret Verbot, uvm hätte ich alleine anders entschieden.
Deutschland IT Entwicklungsland 2021 ;-)
Ein Armutszeugnis was aus diesem Land geworden ist.
Meine Ärztin hat das heute erledigt. Der Service der Apotheken ist wohl fpr Personen, die früher geimpft wurden.
Korrekt, oder einfach ein neues brauchen. Verlegt, nicht mehr lesbar, neues Handy und erneut in die Luca App einlesen (in der Luca geht jeder Code nur einmal) etc.
Und leider scheint es Hausärzte zu geben, die keine Lust auf Zertifikat ausstellen haben und an die Apotheken verweisen.
Wie ich in einem anderen TV-Beitrag gesehen habe lässt sich so ein QR-Code ohne viel Aufwand erstellen, sogar für die CovApp. Und so lange den keiner Digital prüft, kommt man überall durch. Und das das jemand tut habe ich noch nirgends gesehen. Weder im Restaurant noch am Flughafen oder anderswo.
Also, wie so oft, die die sich dran halte sind die Doofen! Andere schleppen des Scheiße weiter durch die Welt.
Es kontrolliert nichtmal jemand ob ich mich mit der Luca-App einchecke oder nicht …
Dies können die an ihren Computern sehen, zumindest die Anzahl.
Ob dies geprüft wird, sei mal dahingestellt, aber diese Prüfung würde man eben gar nicht mitbekommen.
Naja ich halte das für wenig interessant. Wie hier schon einer geschrieben hat….Dann kann man auch einfach mit selbst gemachtem Impfeintrag in die Apotheke gehen und sich den Code ausstellen lassen. Viel unkomplizierter
Wenn man zu einem Kollegen kommt dem das scheiss egal ist ob der Impfpass gefälscht ist oder nicht klappt das schon.
Die Apotheken bekommen jedes Jahr Millionen von Rezepten und müssen die Echtheit prüfen. Glaubst du wir sind zu dumm Fälschungen zu erkennen?
Apotheker sind keine Idioten.
Wieder ein Millionengrab mehr. Deutsche IT macht das schon…
Was ein Glück das ich am Dienstag noch dort war, direkt nach dem Impfen :-)
Wenn Jens Spahn etwas managed geht es immer schief
Die Teile werden im Darkweb weiter angeboten. Kostet auch ned mehr als in der Apotheke
Es kostet nicht mehr als 0€? Respekt.
Das ganze ist nicht bis zum letzten durchdacht. Als einer der ersten Corona betroffenen im letzten Jahr, sagt die stiko, dass man nur eine Impfung machen darf. Die Apotheken akzeptieren das nicht, wenn man seit über 6 Monaten den genesen-Status erreicht hat. Zumindest meine Apotheke hat nicht gemacht – aber jetzt ist das auch wieder egal. Da muss ich weiter den Impfpass und das Schreiben der kreisbehörde rum schleppen, in dem steht, dass ich genesen bin und nur eine Impfung brauche . Deutsche Organisation war einmal,
Anfangs konnte dies nicht in das System eingetragen werden, zumindest nicht offiziell (es gab einen Trick). Inzwischen ist diese Kombi aber ganz normal im System möglich, wenn die Apotheken dies wieder können und auch wollen.
Na super … wolltest dieses we dort mein digitalen beantragen :(
Jetzt werden die ehrlichen sogar noch bestraft …. muss man dem Lappen jetzt überall mit hinnehmen :/