IT-Experten: DAV wusste seit Wochen Bescheid – und tat nichts

, Uhr
Berlin -

Die beiden IT-Experten, die das Sicherheitsleck im DAV-Portal aufgedeckt haben, erheben schwere Vorwürfe gegen den Deutschen Apothekerverband (DAV): Die Sicherheitsrisiken seien Verband und Bundesgesundheitsministerium (BMG) seit Wochen bekannt gewesen, genauso wie die Tatsache, dass bereits mit offenbar rechtswidrig erstellten Zertifikaten aus dem DAV-Portal gehandelt wird. Trotz mehrmaliger Warnungen hätten Verband und Politik aber nicht reagiert – und als sie mit der bevorstehenden Berichterstattung konfrontiert wurden, hätten sie dann ohne Rücksprache den Stecker gezogen.

Der DAV wusste Bescheid, hat aber nicht gehandelt, bis es aus seiner Sicht zu spät war. Dann hat er in einer Kurzschlussreaktion die Impfzertifikate-Funktion im Portal abgeschaltet, ohne auf die Konfrontation des Handelsblatts zu reagieren und ohne die Apotheken über die Probleme zu informieren – so lassen sich die Vorwürfe zusammenfassen, die die IT-Experten Dr. André Zilch und Martin Tschirsich gegenüber dem DAV erheben. Beide hatten den Aufbau der Infrastruktur für die Zertifikate von Beginn an begleitet und bereits Vorschläge gemacht, wie die Sicherheitsarchitektur ihrer Auffassung nach aussehen sollte, und dabei für die Nutzung der Telematikinfrastruktur (TI) plädiert. Doch die politischen Erwartungen wogen offensichtlich schwerer.

„Dann gab es die Aussage von Herrn Minister Spahn, dass es am Montag losgehen sollte, die Apotheken waren noch gar nicht informiert“, sagt Tschirsich. „Unterdessen hatte der DAV das Portal schon am Netz – es entsprach aber gar nicht den Anforderungen. Das Sicherheitsniveau war von Anfang an unter dem, was das BMG in der Ausschreibung gefordert hatte, nämlich eine 2-Faktor-Authenthifizierung und Ausstellung über die TI.“ Erst nachdem das BMG den Auftrag für den Betrieb des Servers per Direktvergabe an IBM und Ubirch vergeben hatte, seien Erwägungen angestellt worden, wie die unterschiedlichen Zertifikatsaussteller – Apotheken, Arztpraxen, Impfzentren – an den Server angebunden werden sollen.

Die Ärzteschaft hatte sich klar positioniert: Sie könne die nötigen Strukturen so schnell nicht aufbauen. „Im Gegensatz dazu hatte der DAV wohl ein sehr gutes Gespür, dass er das über sein Portal einrichten kann. Unter dem politischen Druck, dass es so schnell fertig sein musste, wurde dann entschieden, das DAV-Portal anzuschließen“, so Tschirsich. „Auf Ärzteseite gab es denselben Zeitdruck, doch man hat sich entschieden, auf die Telematik-Infrastruktur zu setzen, während der DAV sein über das offene Internet zugängliche Portal benutzt.“ Wer die Verantwortung trägt, ist für ihn klar: „Das BMG hat unter dem politischen Druck, unter den es sich selbst gesetzt hat, diese ausgestreckte Hand des DAV entgegengenommen. Es ging um reine Geschwindigkeit, denn es gab auch das Ziel, eines der ersten EU-Länder zu sein, das die Zertifikate anbietet.“

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch

APOTHEKE ADHOC Debatte

Neuere Artikel zum Thema
Mehr aus Ressort
Apothekenteams zu 81 Prozent dreifach geimpft
Trotz hoher Booster-Quote: Sorge vor Personalengpässen wächst »
Weiteres
Mehr Transparenz in der Lieferkette
EMA bekommt Engpass-Datenbank»
Streit um das Millionenprojekt
LAV-Beitrag: 50 Euro pro Monat für Gedisa»
Entschädigungsanspruch
Kein Booster, kein Geld»
Suspension und Kapseln
Sildenafil in der Pädiatrie»
„Der Betriebsablauf darf nicht gestört werden“
Angestellte abwerben: Das ist nicht erlaubt»
Report Mainz über Impfpassfälschungen
Apotheken im Fadenkreuz von Impfgegnern»
Dosierung, bedenkliche Stoffe, Preis
Retaxgefahr Rezeptur»
Rechtliche und pharmazeutische Aspekte
Grauzone: Abgabe von mehreren OTC-Packungen»