Sicherheitslücke im DAV-Portal

Zertifikate-Stopp: Arbeitsstau in Apotheken APOTHEKE ADHOC, 23.07.2021 10:47 Uhr

Apotheken können auch heute keine digitalen Impfzertifikate ausstellen. Foto: APOTHEKE ADHOC
Berlin - 

Abschalten und Schweigen – Apotheker:innen fühlen sich nach dem Stopp der Ausstellung von digitalen Impfzertifikaten wegen einer Sicherheitslücke allein gelassen. Kritisiert wird vor allem, dass die Mitgliedsorganisationen zu spät und ohne Details über die Gründe des Problems informiert hätten. Denn die Kunden verlangten Antworten.

In Apotheken sammeln sich seit vorgestern Anfragen für die Ausstellung von digitalen Impfzertifikaten. Seit Mittwochnachmittag ist die Funktion im Apothekenportal des Deutschen Apothekerverbandes (DAV) inaktiviert. Die Sicherheitsexperten André Zilch und Martin Tschirsich deckten die Sicherheitslücke gemeinsam dem Handelsblatt auf und nutzten dafür gefälschte Zugangsdaten.

Die Abschaltung der Dienstleistung traf die Apotheken unvermittelt. Dass sich der QR-Code plötzlich nicht mehr generieren ließ, habe man den Kund:innen nicht erklären können, sagt eine Apothekenangestellte. Die einzige Information sei die Fehlermeldung über die Portalseite gewesen. Verständnis für einen kompletten Stopp gebe es nicht: „Bei uns ist Ferienbeginn und die Leute brauchen ihre Zertifikate.“ Jetzt staue sich die Arbeit in der Apotheke. „Zum Glück haben die meisten Leute Verständnis.“

In einer anderen Apotheke befürchtet der Inhaber, dass auch diejenigen Kund:innen, denen bereits ein Zertifikat ausgestellt wurde, mit Fragen in die Apotheke kommen werden. „Wir bekommen jetzt bestimmt Fragen, ob es korrekt ausgestellt wurde“, sagt er. Bisher hätten vor allem Stammkunden einen QR-Code erhalten. Ihnen könne man die Situation leichter erklären. Zudem könne es schwierig für Genesene werden, die jetzt ins Ausland gingen, die uneinheitlichen Arztbescheinigungen an der Grenze zu erklären.

Der Apotheker ärgert sich wie zahlreiche Kolleg:innen über die fehlende Information. „Wir gehen an den Computer und es funktioniert einfach nicht. Dass es eine Sicherheitslücke geben soll, habe ich aus den Medien erfahren.“ Vom Verband hieß es lediglich, dass an einer zeitnahen Lösung zur Behebung der Sicherheitslücke gearbeitet werde. Sonst würden doch auch dreimal am Tag Faxe mit Informationen versendet. „Das ist doch nur noch traurig, wir zahlen Beiträge und werden nicht informiert, sondern allein gelassen.“ Auch wenn die Ausstellung der Zertifikate mengenmäßig leicht abgenommen habe, gebe es etwa Nachfragen von Kund:innen, die am Wochenende in den Urlaub fahren wollten oder einen anderen wichtigen Termin hätten.

In der Publikumspresse wurde am Abend unter anderem bei Bild über den Ausstell-Stopp berichtet. Dort verwies man auf das Handelsblatt. „Zwei Hackern sei es gelungen, unbemerkt auf das Impfnachweis-Portal www.mein-apothekenportal.de zuzugreifen und gültige Zertifikate zu erstellen – ohne Prüfung, ob die betreffende Person geimpft ist oder nicht.“ Die Süddeutsche titelte: „Apotheken stoppen Ausgabe von Impfzertifikaten“. Auch in der Tagesschau wurde auf die Sicherheitslücke in einem Beitrag hingewiesen.

Die Abda teilte gestern mit, dass geprüft werde, welche zusätzlichen Sicherheitsmechanismen gegen Missbrauch implementiert werden könnten oder sollten. „Wann die Ausstellung von Zertifikaten wieder aufgenommen wird, steht noch nicht fest, der DAV befindet sich im engen Austausch mit dem Bundesgesundheitsministerium.“