G Data zerlegt digitalen Impfpass

Datenschützer sehen Apotheken als Schwachstelle APOTHEKE ADHOC, 28.06.2021 14:15 Uhr

Unsicher und ohne doppelten Boden: G Data hat die digitalen Impofzertifikate auf ihre Sicherheit geprüft und fällt ein vernichtendes Urteil. Foto: APOTHEKE ADHOC
Berlin - 

Das Verfahren zur Ausstellung digitaler Impfzertifikate ist „unausgereift“ und hat „gravierende Mängel“ – vor allem bei der Sicherheit. Zu diesem Schluss kommt das Softwaresicherheitsunternehmen G Data in einer aktuellen Analyse. Demnach hakt es fast überall: Von der Ausstellung im schlecht geschützten DAV-Portal über die ausbleibende Prüfung der Daten durch das Robert Koch-Institut (RKI) bis hin zur fehlenden Möglichkeit, falsche oder gefälschte Zertifikate zurückzuziehen, gebe es an jeder Stelle im Prozess massive Sicherheitsmängel. Den Apotheken und Arztpraxen werde mit der Ausstellung eine „nicht erfüllbare Verantwortung übertragen“.

Das Bochumer IT-Haus G Data – den meisten Verbrauchern wahrscheinlich für seine Anti-Viren-Software bekannt – verreißt die digitalen Impfzertifikate als absolut unzureichend gegen Missbrauch abgesichert. Sie hätten „die Welt nicht sicherer gemacht, sondern unsicherer“, denn es gebe „einige eklatante Schwachstellen hinter den Kulissen, die das gesamte Konzept hinfällig machen könnten und die einige mehr als unbequeme Fragen aufwerfen“. Eines der Hauptargumente ist dabei jedoch das blinde Vertrauen, das Apotheken und Arztpraxen entgegengebracht werde – denn deren Eingaben würden weder durch das RKI, das offiziell Aussteller der Zertifikate ist, noch durch den Deutschen Apothekerverband (DAV) oder irgendeine andere Institution geprüft. Dass auch Apotheker:innen und Ärzt:innen Missbrauch begehen könne, habe bereits die massenhafte Ausstellung falscher Atteste zur Befreiung von der Maskenpflicht gezeigt. Allerdings könnten aufgrund mangelhafter Sicherheitsstrukturen auch Apotheken und Praxen selbst leicht zum Opfer werden.

Die „auffälligste signifikante Schwachstelle im Prozess“ sei die Corona-Warn-App des RKI: Bereits der öffentlich einsehbare Quellcode zeige, dass „schlicht und ergreifend darauf verzichtet“ wurde, die eingehenden Daten und die digitale Unterschrift der ausstellenden Institution zu überprüfen. Das heißt: Selbst offenkundig unsinnige Zertifikate werden ohne Weiteres erfasst und regelkonform gespeichert. Da die digitale Signatur nicht geprüft werden, müssen sie auch nicht von einer echten Apotheke oder Praxis erstellt worden sein. Der Programmcode und etwas IT-Erfahrung reichten aus, um selbst Zertifikate zu bauen, was G Data an einem Beispiel illustriert: Die IT-Experten haben ein digitales Impfzertifikat für Robert Koch persönlich ausgestellt – geboren am 11. Dezember 1843, Zweitimpfung am 4. August 1890.

„Diesen Impfnachweis akzeptiert die Corona-Warn-App klaglos.“ Gültigkeit habe es demnach bis zum 30. November dieses Jahres. „Mit dem hier geschilderten Angriff lassen sich beliebige Impfnachweise mit komplett erdachtem Inhalt erstellen, die von der Corona-Warn-App nicht beanstandet werden“, so G-Data. Das Zertifikat für Robert Koch ist zwar offensichtlich unsinnig, mit dem Programmcode lassen sich aber genauso Zertifikate mit scheinbar plausiblen Angaben erstellen.

Den Fehler, dass die Signatur nicht geprüft wird, gebe es zwar bei der CovPassCheck-App nicht – das Robert-Koch-Zertifikat würde dort als Fälschung erkannt. Ob die in Gastronomie und Gewerbe immer zum Einsatz kommt, sei jedoch fragwürdig. „In der Praxis dürfte dieser Schritt aber oft entfallen, wenn jemand in der vermeintlich vertrauenswürdigen offiziellen App des RKI ein scheinbar gültiges Zertifikat zeigen kann.“ Auch unabhängig davon gebe es jedoch eine Reihe an Sicherheitsmängeln, von denen auch Apotheken betroffen sein können.

Dabei seziert G Data auch die Problematik, dass das DAV-Portal sämtliche Daten ungeprüft übernimmt, also auch signierte Zertifikate ausstellt, wenn es offensichtliche oder nicht sofort erkennbare Fehler enthält – und dabei fast keine Rückverfolgungsmöglichkeiten bietet. Denn neben dem Fehlen wichtiger Daten wie der Chargennummer der Impfung ist aus dem Datensatz des Zertifikates nicht ersichtlich, wer die Impfung wo vorgenommen hat. So werde als Aussteller des Impfnachweises stets das RKI angegeben, nicht etwa die Apotheke oder Arztpraxis, die den Impfnachweis tatsächlich ausgegeben hat.

Das RKI wiederum prüfe die Daten gar nicht, sondern vergebe lediglich kryptographische Schlüssel zur Unterzeichnung der Impfnachweise. „Einen einmal erstellten Nachweis als illegitim ausgestellt zu erkennen, ist rückwirkend praktisch kaum noch möglich, da die dafür relevanten Daten nicht im digitalen Impfnachweis stehen.“ Es blieben damit als Prüfinstanzen ausschließlich die Apotheken und Praxen. „Wenn eine Apotheke einen Impfnachweis für Micky Maus anfordert, wird sie einen solchen Impfnachweis erhalten“, so G-Data.

Damit sei das Problem der Prüfung ausschließlich auf deren Schultern geladen, was angesichts der gelben Hefte alles andere als sicher sei, denn: „Die Fälschung eines Impfpasses ist trivial.“ Die Blankohefte gebe es überall zu kaufen, Arztstempel und -unterschrift lassen sich leicht fälschen und Anbieter von Allzwecketiketten zur Fälschung des Chargenaufklebers ließen sich ohne weiteres im Internet finde. Bleibt nur noch die Chargennummer selbst. Auch die ließen sich online finden, dabei könne man sich diesen Aufwand sogar sparen. Denn kaum eine Apotheke prüfe, ob es die angegebene Chargennummer so wirklich gebe und ob eine Impfung der vorlegenden Person mit genau dieser Charge plausibel sei. Und da die Chargennummer ohnehin nicht in digitale Zertifikate übernommen wird, bestehe auch keine Gefahr einer nachträglichen Prüfung.

Und dabei ist noch gar nicht die vorsätzliche Ausstellung falscher Impfzertifikate durch Apotheker oder Ärzte. Dass es Heilberufler gibt, die aus persönlichen, weltanschaulichen oder gar finanziellen Gründen genug kriminelle Energie dafür aufbringen, habe die Debatte um offenbar tausende Atteste zur Befreiung von der Maskenpflicht gezeigt, die Ärzte Unberechtigten ausgestellt haben. Nur: Anders als bei denen bestünde aus den oben genannten Gründen im Nachhinein keine Möglichkeit mehr, falsche Zertifikate ausfindig zu machen und zu sperren. Als Aussteller ist stets das RKI vermerkt und in der Apotheke oder Praxis selbst besteht keine Pflicht zu einer eigenen Dokumentation. Deshalb „könnte die ausgebende Arztpraxis oder Apotheke ein schuldhaftes Verhalten auch immer abstreiten. Es hätten ja gefälschte gelbe Impfpässe vorliegen können, sodass der ungerechtfertigte Impfpass nicht bewusst ausgestellt wurde.“

Dabei solle man Apotheker und Ärzte allerdings keinesfalls unter Generalverdacht stellen, denn die Problematik bekomme vor allem durch eine weitere Schwachstelle des Verfahrens noch größere Bedeutung: der schwachen Authentifizierung im DAV-Portal, die leicht zu einem Abfluss der entscheidenden, aber schlecht gesicherten Zugangsdaten führen könne. Zwar ist die Ausstellung der Impfzertifikate eine hoheitliche Aufgabe – gesichert ist der Zugang zum Portal aber schlechter als ein Onlinebanking-Account. Es reichen Benutzername und Passwort. „Eigentlich sollte in diesem Bereich eine Mehrfaktor-Authentifizierung jedes einzelnen Vorgangs der Standard sein, so wie es etwa selbst beim Online-Banking für Privatpersonen seit Jahren mit Transaktionsnummern (TAN) praktiziert wird.“ Das ist jedoch nicht der Fall.

Die Folge: Beispielsweise über einen einfachen Malware-Angriff, wie sie täglich millionenfach vorkommen, können Kriminelle ohne Weiteres den Zugang zum DAV-Portal sichern und dann beliebig selbst Impfzertifikate ausstellen. Schadsoftware wie Keylogger oder Formgrabber, die Benutzerdaten ausspionieren, gehörten seit Jahren zum Standard-Repertoire solcher Krimineller. „Zusammen mit den oben beschriebenen Problemen ist es fraglich, ob die unberechtigte Ausstellung von Impfnachweisen in diesem Szenario jemals auffallen würde.“

Und selbst wenn es auffallen würde: Aufgrund der Struktur der Zertifikatsschlüssel sei es ohnehin gar nicht möglich, kompromittierte Zertifikate technisch ausfindig zu machen und zu sperren. Denn alle in Apotheken ausgestellten Zertifikate erhielten den Schlüssel des DAV-Portals, nicht der ausstellenden Apotheke. Ein anderer Weg wäre die Identifizierung und Sperrung anhand des sogenannten Zertifikatsidentifikators (Unique Vaccination Certificate/ Assertion Identifier, UVCI). Über den ließe sich zwar der konkrete Aussteller ausfindig machen – zumindest für Apotheken werde der Identifikator aber erst seit wenigen Tagen verwendet. Bis dahin war lediglich der DAV angegeben. „Sollte sich herausstellen, dass in einer Apotheke zuvor flächendeckend falsche Impfzertifikate ausgestellt wurden, könnten diese Zertifikate nicht zurückgerufen werden“, so die Schlussfolgerung von G Data. „Es könnten höchstens alle Zertifikate aller Apotheken bis zu diesem Zeitpunkt zurückgerufen werden – mit entsprechenden Kosten.“

In der Praxis heiße all das: Es gibt kaum eine Möglichkeit, falsche Impfzertifikate – seien sie aus Fahrlässigkeit, Absicht oder durch einen Datendiebstahl entstanden – im Nachhinein zu erkennen. Und selbst wenn aus anderer Quelle bekannt würde, dass – eventuell massenhaft – falsche Zertifikate im Umlauf sind, gäbe es keine Möglichkeit, sie ausfindig zu machen und zu sperren. Aus Sicht von G Data lässt sich am Aufbau des Zertifikatsservices durchaus erkennen, wie er zustande kam: „Grundsätzlich entsteht der Eindruck, dass die Einführung des digitalen Impfnachweises vor allem ein Schnellschuss war. Es scheint eine größere Rolle gespielt zu haben, die Lösung vor Beginn der Ferienzeit präsentieren zu können, als eine nachhaltig sichere Lösung zu liefern.“