„Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV“

„Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV“

Die Apotheken sind derzeit nicht in der Lage, nachträglich digitale Impfzertifikate auszustellen. Hintergrund ist laut DAV, dass IT-Experten Sicherheitslücken aufgedeckt haben. Dem widersprechen die beiden Verantwortlichen, Dr. André Zilch und Martin Tschiersich, jedoch ausdrücklich im DAZ-Interview: Die Mängel seien schon länger bekannt gewesen, der DAV habe darauf aber nicht reagiert. Man sah sich also gezwungen, die Schwachstellen noch einmal praktisch aufzuzeigen. Denn das Ansehen des deutschen Impfzertifikats habe im Ausland bereits Schaden genommen – mit erlebbaren Nachteilen für die Geimpften.

DAZ: Herr Dr. Zilch, Herr Tschirsich, der „Handelsblatt“-Beitrag, in dem Sie eklatante Sicherheitsmängel beim Authentifizierungsprozess der Apotheken im DAV-Portal aufzeigen, hat unter den Apotheker:innen hohe Wellen geschlagen. Was genau ist passiert? Wie konnten Sie an einen Zugang zum Portal gelangen?

Tschirsich: Zunächst haben wir das DAV-Portal geöffnet und geschaut, wie wir einen Zugang bekommen können. Verbandsmitglied zu werden, war uns zu aufwendig, deshalb haben wir uns entschieden, einen Gastzugang zu beantragen. Wir haben das entsprechende Formular ausgefüllt mit Vorname, Nachname, Adresse, E-Mail-Adresse und so weiter. 

Zudem brauchten wir eine Kopie einer Betriebserlaubnis sowie einen Nachweis, dass die Apotheke auch aktiv ist, also eine Bescheinigung des Nacht- und Notdienstfonds. Beides haben wir uns einfach selbst gebastelt und unseren Antrag über eine anonyme E-Mail-Adresse an den DAV geschickt mit der Bitte, uns einen Zugangscode zu schicken. Das war am Sonntagabend und schon am nächsten Morgen kam eine Mail vom DAV, dass die Dokumentenprüfung erfolgreich gewesen sei. Am Dienstag hatten wir den Code dann im Briefkasten und konnten uns registrieren.

Mehr zum Thema

IT-Experten erfinden Fake-Apotheker

DAV stoppt Erstellen von Impfzertifikaten über das Apothekenportal

Aber für die Registrierung brauchten Sie doch eine Telematik-ID …

Dr. Zilch: Wir haben einfach eine Zahlenfolge eingegeben, die von der Länge her passte. Sie sah also aus wie eine Telematik-ID, war aber gar keine echte.

Der DAV schreibt in seinem Statement von „professionell gefälschten Dokumenten“. War es für den Verband möglicherweise gar nicht erkennbar, dass Sie keine echte Apotheke betreiben?

Dr. Zilch: Nein. Wir haben bewusst so viele Sollbruchstellen in den Prozess eingebaut, dass es hätte auffallen müssen. Wir hatten eine falsche Telematik-ID, die Apotheke war komplett ausgedacht, unter der von uns angegebenen Adresse ist ein Mehrfamilienhaus zu finden … Das hätte innerhalb von Minuten auffallen müssen, selbst wenn man kein Apothekenverzeichnis verwendet, sondern sich auf die Recherche mithilfe von Internet-Suchmaschinen beschränkt.

Tschirsich: Wir haben für das Basteln unserer fiktiven Betriebserlaubnis zum Beispiel lediglich eine Betriebserlaubnis einer echten Apotheke ergoogelt und diese dann mit ganz simplen Programmen bearbeitet. Das hätte jeder Siebtklässler hinbekommen. Das Aufwendigste war eine Google-Suche mit den Stichwörtern Betriebserlaubnis und Apotheke.

Wie sind Sie überhaupt darauf gekommen, sich das Apothekenportal genauer anzuschauen?

Tschirsich: Es kursieren bereits seit längerer Zeit gefälschte Impfzertifikate, die etwa über Messenger-Gruppen verkauft werden – für gerade einmal 150 bis 300 Euro. Wenn man sich diese Zertifikate anschaut, fällt auf, dass sie alle über das DAV-Portal erstellt wurden. Das hat zur Folge, dass zum Beispiel in der Schweiz deutsche Impfzertifikate nicht mehr denselben Stellenwert haben wie Schweizer Zertifikate – mit entsprechenden Nachteilen, zum Beispiel für Pendler.

Wie sind Sie überhaupt darauf gekommen, sich das Apothekenportal genauer anzuschauen?

Tschirsich: Es kursieren bereits seit längerer Zeit gefälschte Impfzertifikate, die etwa über Messenger-Gruppen verkauft werden – für gerade einmal 150 bis 300 Euro. Wenn man sich diese Zertifikate anschaut, fällt auf, dass sie alle über das DAV-Portal erstellt wurden. Das hat zur Folge, dass zum Beispiel in der Schweiz deutsche Impfzertifikate nicht mehr denselben Stellenwert haben wie Schweizer Zertifikate – mit entsprechenden Nachteilen, zum Beispiel für Pendler.

Quelle: Den ganzen Artikel lesen