Seit gestern Nachmittag können Apotheken bundesweit keine Zertifikate mehr ausstellen. Jetzt ist der Grund offiziell: „Aufgrund eines Hinweises auf eine potentielle Schwachstelle beim Zugang zum Webportal des Deutschen Apothekerverbands (DAV) wurde die Ausstellung von Impfzertifikaten über dieses Webportal vorübergehend deaktiviert, bis eventuelle Schwachstellen beseitigt wurden“, teilte eine Sprecherin des BMG mit.

Die Abda benennt als Grund „eine Sicherheitslücke, die das Handelsblatt mithilfe gefälschter Dokumente gefunden hat“. Weiter heißt es von der Abda: „Wir arbeiten bereits an einer zeitnahen Lösung und auf dem Server ist eine entsprechende Fehlermeldung eingestellt.“

Man habe mit dem Portal innerhalb kürzester Zeit eine technische Infrastruktur aufgebaut, über die Apotheken Ort digitale Impfzertifikate erstellen könnten, erklärt sich die Abda. Die Portallösung sei zunächst Verbandsmitglieder vorgesehen gewesen. „Da deren aktuelle Daten im Mitgliederverzeichnis gelistet sind, war und ist eine zweifelsfreie und sichere Authentifizierung dieser Apotheken auf dem Portal jederzeit gewährleistet.“

Doch das BMG hatte der Abda auf die Finger geklopft, eine diskriminierungsfreie Lösung zu schaffen, die allen Apotheken offensteht. Laut Abda-Mitteilung sind diese Gastzugänge die Schwachstelle im System. Nicht-Mitglieder müssten für eine erfolgreiche Registrierung ihre amtliche Betriebserlaubnis und einen aktuellen Bescheid des Nacht- und Notdienstfonds zum Nachweis eines laufenden Betriebs vorlegen. Laut Abda wurden so allerdings nur 470 weitere Apotheken über einen Gastzugang angeschlossen.

Das Handelsblatt habe nun mithilfe von gefälschten Dokumenten einen Gastzugang für einen nicht existierenden Apothekeninhaber erzeugt, so die Abda. Dazu seien eine gefälschte Betriebserlaubnis und ein gefälschter Bescheid des Nacht- und Notdienstfonds vorgelegt worden. Unter dieser Identität seien zwei Impfzertifikate ausgestellt worden. Offenbar sind die Daten nicht abgeglichen worden, bevor der Zugang freigeschaltet wurde.

„Nach einer entsprechenden Information durch das Handelsblatt hat der Deutsche Apothekerverband in Rücksprache mit dem Bundesgesundheitsministerium die Ausstellung von Zertifikaten am gestrigen Mittwoch gestoppt, um zusätzlich zu der ohnehin mehrfach pro Woche laufenden Überprüfung der über Gastzugänge angemeldete Betriebsstätten eine weitere Prüfung vorzunehmen“, teilt die Abda mit. Warum diese Information erst mit 24 Stunden Verzögerung herausgegeben wird, ist allerdings unklar.

Bis jetzt gebe es keine Hinweise auf andere unberechtigte Zugänge, „deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist“, so die Abda weiter. Daher sei davon auszugehen, dass die mehr als 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden.

Jetzt wird geprüft, ob zusätzliche Sicherheitsmechanismen gegen Missbrauch implementiert werden sollen. Wann die Ausstellung von Zertifikaten wieder aufgenommen wird, steht laut Abda noch nicht fest, der DAV befinde sich im engen Austausch mit dem BMG, heißt es. APOTHEKE ADHOC hatte bereits am Vormittag von mit der Situation vertrauten Personen erfahren, dass es womöglich bis Ende der Woche nicht mehr möglich sein wird, Zertifikate auszustellen.