So leicht war das DAV-Portal zu knacken

, Uhr

Berlin - Wegen einer Sicherheitslücke im DAV-Portal können die Apotheken aktuell keine Impfzertifikate ausstellen. Die IT-Sicherheitsexperten Dr. André Zilch und Martin Tschirsich haben das System in nur 48 Stunden geknackt. Im Gespräch mit APOTHEKE ADHOC erklären sie, wie erschreckend einfach das war.

Jeder mit genug krimineller Energie konnte sich ohne allzu große Fachkenntnisse einen Zugang zum DAV-Portsal erschleichen und danach echte Impfzertifikate ausstellen – denn der DAV hat keinerlei Prüfung der angegebenen Daten vorgenommen. Tschirsich und Zilch haben keineswegs kriminelle Energie, sondern im Gegenteil: Die beiden IT-Experten, die 2019 bereits die Schwachstellen bei der Ausstellung der SMC-B für den Anschluss an die Telematikinfratruktur (TI) öffentlich gemacht hatten, tun dies mit dem Ziel, dass gerade solche Sichehreitslücken geschlossen werden.

Wie groß diese Lücke im jetzigen Fall war und wie schnell es ging – davon waren sie selbst überrascht. „Sonntag fiel die Entscheidung, dass wir das demonstrieren müssen, denn es ist wie mit des Kaisers neuen Kleidern: Bevor das Kind es nicht ausspricht, passiert nichts“, erzählt Tschirsich. Also setzten sie sich Sonntagnachmittag an den Computer und bearbeiteteten mit dem kostenlos downloadbaren Grafikprogramm GIMP eine Betriebserlaubnis, die sie von der Homepage einer echten Apotheke hatten. „Ich bin absolut kein Grafiker oder Bildbearbeiter. Das war weit entfernt von einer professionellen Fälschung“, sagt er. Doch das reichte. „Der DAV möchte ja gar keine Betriebserlaubnis sehen, sondern nur ein Bild davon.“

Sie erfanden dabei einfach die Sonnen-Apotheke – davon gibt es schließlich etliche in Deutschland – und machten den gesamten Antrag leicht als Fälschung erkenntlich. „In diesem ganzen Antrag waren so viele absichtliche Fehler drin, dass man das mit einer einfachsten Prüfung hätte erkennen müssen“, sagt Zilch. Besonders gravierend: Die 19-stellige TI-Nummer sei komplett willkürlich zusammengestellt gewesen. Doch auch die Apotheke selbst war ganz offensichtlich erfunden: „Die Adresse gehörte zu einem zehnstöckigen Mehrfamilienhaus, man hätte nur bei Google Maps schauen müssen, um das zu erkennen – oder die angegebene Telefonnummer anrufen, die gar nicht zu einer Apotheke gehört.“ Den zur Registrierung ebenfalls erforderlichen Nachweis des Nacht- und Notdienstfonds (NNF) zu fälschen, sei noch leichter gewesen, schließlich habe es sich lediglich um einen einfachen Brief ohne Sicherheitsmerkmale gehandelt. Die notwendigen Informationen hätten sie aus dem Internet und mit ein paar Nachfragen bei Apothekern zusammenbekommen.

  • 1
  • 2

Lesen Sie auch

APOTHEKE ADHOC Debatte

Liebe Nutzerin, lieber Nutzer,

eigentlich sollten hier die Kommentare zum Artikel stehen.
Leider funktioneren die Kommentare seit ein paar Tagen nicht mehr für manche Nutzer und Sie scheinen leider zu diesen zu gehören.
Bitte versuchen Sie, alle Cookies von apotheke-adhoc zu löschen. Die Kommentare sollten anschließend wieder angezeigt werden. Eine andere Möglichkeit wäre, einen anderen Browser zu verwenden.
Sollte dies nicht der Fall sein, verwenden Sie bitte unser Kontaktformular und schicken Sie uns Informationen über Ihr Betriebssystem und den verwendeten Browser, damit wir Ihnen weiterhelfen können.

Eine Anleitung, wie Sie Ihre Cookies löschen können, finden Sie z.B. hier.

Mehr zum Thema

Chefin sammelt Papiertüten
Apotheken-Sticker statt Rewe und Zara »
Weiteres
Apotheker baut Botendienst massiv aus
Doppeltour als E-Rezept-Vorbereitung»
Herausforderung Taxation
E-Rezepte im Krankenhaus»
Wie soll es funktionieren?
FAQ: Die PTA und das E-Rezept»
Verschließbare Box mit App-Kontakt
Botendienst mit Fernsteuerung»
Wie erzielt man Reichweite?
Instagram für die Apotheke»