IT-Experten finden Sicherheitslücke bei digitalen Impfnachweisen
Archivmeldung vom 22.07.2021
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 22.07.2021 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Anja SchmittDer offizielle deutsche Impfnachweis weist eine gravierende Sicherheitslücke auf, deswegen wurde die Ausstellung über die Apotheken in dieser Woche vorübergehend gestoppt. Zwei IT-Sicherheitsspezialisten war es gelungen, innerhalb von 48 Stunden unbemerkt auf das Impfnachweis-Portal der Apotheken zuzugreifen und gültige Zertifikate zu erstellen - ohne Prüfung, ob die betreffende Person geimpft ist oder nicht. Das berichtet das "Handelsblatt" (Freitagausgabe).
Die beiden Männer hatten sich den Zugang verschafft, indem sie Daten einer fiktiven Apotheke einreichten. Für die Überprüfung verlangte der zuständige Deutsche Apothekerverband (DAV) bloß zwei vergleichsweise leicht zu fälschende Dokumente. Vom "Handelsblatt" mit den Mängeln konfrontiert, stoppte der DAV am Mittwoch die Möglichkeit zur Ausstellung von Impfnachweisen.
Die Zugänge würden mehrfach pro Woche überprüft, nun sei eine weitere Kontrolle gestartet worden: "Diese hat bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben", hieß es. Allerdings werden im Darknet bereits digitale Impfzertifikate aus Deutschland angeboten, wie das Schweizer Nachrichtenportal "Watson" berichtet. An den Kennziffern ist abzulesen, dass diese durch Apotheken ausgestellt werden. "Es ist ziemlich wahrscheinlich, dass die kriminellen Anbieter eine der aufgezeigten Schwachstellen des DAV-Portals nutzen", sagte einer der Experten.
Dass alle beim Webportal angemeldeten Apotheken noch einmal fundiert geprüft werden, birgt keine hundertprozentige Sicherheit. Denn es besteht auch die Möglichkeit, dass sich Kriminelle die Anmeldedaten einer echten Apotheke erschlichen haben. Zudem gibt es keine Möglichkeit, bereits ausgestellte Impfnachweise nachträglich zu sperren. "Die einzig ehrliche Lösung wäre, die 25 Millionen Impfnachweise, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären", sagte einer der Experten. Beide halten das aufgrund es des dadurch entstehenden Schadens für unwahrscheinlich. In der Kritik steht neben dem DAV auch Bundesgesundheitsminister Jens Spahn (CDU). Der Weg für die Impfnachweise über die Apotheken war ursprünglich nicht vorgesehen. Er wurde aufgrund des Zeitdrucks bei dem Projekt kurzfristig eingerichtet. Das Bundesgesundheitsministerium gab auf eine Anfrage bislang keine konkrete Stellungnahme ab.
Quelle: dts Nachrichtenagentur