Datenschützer sehen Apotheken als Schwachstelle

, Uhr
Berlin -

Das Verfahren zur Ausstellung digitaler Impfzertifikate ist „unausgereift“ und hat „gravierende Mängel“ – vor allem bei der Sicherheit. Zu diesem Schluss kommt das Softwaresicherheitsunternehmen G Data in einer aktuellen Analyse. Demnach hakt es fast überall: Von der Ausstellung im schlecht geschützten DAV-Portal über die ausbleibende Prüfung der Daten durch das Robert Koch-Institut (RKI) bis hin zur fehlenden Möglichkeit, falsche oder gefälschte Zertifikate zurückzuziehen, gebe es an jeder Stelle im Prozess massive Sicherheitsmängel. Den Apotheken und Arztpraxen werde mit der Ausstellung eine „nicht erfüllbare Verantwortung übertragen“.

Das Bochumer IT-Haus G Data – den meisten Verbrauchern wahrscheinlich für seine Anti-Viren-Software bekannt – verreißt die digitalen Impfzertifikate als absolut unzureichend gegen Missbrauch abgesichert. Sie hätten „die Welt nicht sicherer gemacht, sondern unsicherer“, denn es gebe „einige eklatante Schwachstellen hinter den Kulissen, die das gesamte Konzept hinfällig machen könnten und die einige mehr als unbequeme Fragen aufwerfen“. Eines der Hauptargumente ist dabei jedoch das blinde Vertrauen, das Apotheken und Arztpraxen entgegengebracht werde – denn deren Eingaben würden weder durch das RKI, das offiziell Aussteller der Zertifikate ist, noch durch den Deutschen Apothekerverband (DAV) oder irgendeine andere Institution geprüft. Dass auch Apotheker:innen und Ärzt:innen Missbrauch begehen könne, habe bereits die massenhafte Ausstellung falscher Atteste zur Befreiung von der Maskenpflicht gezeigt. Allerdings könnten aufgrund mangelhafter Sicherheitsstrukturen auch Apotheken und Praxen selbst leicht zum Opfer werden.

Die „auffälligste signifikante Schwachstelle im Prozess“ sei die Corona-Warn-App des RKI: Bereits der öffentlich einsehbare Quellcode zeige, dass „schlicht und ergreifend darauf verzichtet“ wurde, die eingehenden Daten und die digitale Unterschrift der ausstellenden Institution zu überprüfen. Das heißt: Selbst offenkundig unsinnige Zertifikate werden ohne Weiteres erfasst und regelkonform gespeichert. Da die digitale Signatur nicht geprüft werden, müssen sie auch nicht von einer echten Apotheke oder Praxis erstellt worden sein. Der Programmcode und etwas IT-Erfahrung reichten aus, um selbst Zertifikate zu bauen, was G Data an einem Beispiel illustriert: Die IT-Experten haben ein digitales Impfzertifikat für Robert Koch persönlich ausgestellt – geboren am 11. Dezember 1843, Zweitimpfung am 4. August 1890.

„Diesen Impfnachweis akzeptiert die Corona-Warn-App klaglos.“ Gültigkeit habe es demnach bis zum 30. November dieses Jahres. „Mit dem hier geschilderten Angriff lassen sich beliebige Impfnachweise mit komplett erdachtem Inhalt erstellen, die von der Corona-Warn-App nicht beanstandet werden“, so G-Data. Das Zertifikat für Robert Koch ist zwar offensichtlich unsinnig, mit dem Programmcode lassen sich aber genauso Zertifikate mit scheinbar plausiblen Angaben erstellen.

Den Fehler, dass die Signatur nicht geprüft wird, gebe es zwar bei der CovPassCheck-App nicht – das Robert-Koch-Zertifikat würde dort als Fälschung erkannt. Ob die in Gastronomie und Gewerbe immer zum Einsatz kommt, sei jedoch fragwürdig. „In der Praxis dürfte dieser Schritt aber oft entfallen, wenn jemand in der vermeintlich vertrauenswürdigen offiziellen App des RKI ein scheinbar gültiges Zertifikat zeigen kann.“ Auch unabhängig davon gebe es jedoch eine Reihe an Sicherheitsmängeln, von denen auch Apotheken betroffen sein können.

Lesen Sie auch

APOTHEKE ADHOC Debatte

Weiteres
DocMorris-Mutterkonzern sammelt 18 Millionen Franken ein
E-Rezept: Zur Rose füllt Kriegskasse»
Zahlen aus der Pilotregion Berlin/ Brandenburg
Gematik: „Das E-Rezept ist beherrschbar“»
Einnahme gefahrlos fortsetzbar
Statine: Kein Risikofaktor für Covid-19»
Prämie und Tablet als Aufwandsentschädigung
Covid-19: Ursapharm will Bromelain testen»
„Wir haben ein Wettbieten um Mitarbeiter“
Personalnot: Verzweifelter Hilferuf eines Apothekers»
150 Anrufe und 100 E-Mails am Tag
Apotheker sucht 40 Mitarbeiter:innen»