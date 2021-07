Die Impfkampagne in Deutschland läuft und die Geimpften können sich ihren Impfpass direkt aufs Handy holen. Bisher haben das auch Apotheken angeboten. Das wird jedoch erstmal gestoppt.

Corona: Sicherheitslücken beim digitalen Impfpass in Apotheken

Corona: Sicherheitslücken beim digitalen Impfpass in Apotheken

Berlin. Wegen einer Sicherheitslücke konnten Apotheken zeitweise keine digitalen Impfpässe ausstellen. Das Problem ist nun offenbar gelöst.

Wer vollständig gegen Corona geimpft ist, kann das durch den digitalen Impfpass nachweisen

Doch bei der Ausstellung der dafür notwendigen Zertifikate gab es Probleme – die Apotheken in Deutschland stoppten den Service deshalb zeitweise

Hier erfahren Sie ab, wann welche Apotheken den Service wieder anbieten

Der digitale Impfpass soll unter anderem beim Reisen während der Pandemie zum Einsatz kommen und den Nachweis einer Corona-Impfung erleichtern. Doch zuletzt gab es bei der Ausstellung der dafür notwendigen EU-Covid-Zertifikate Probleme: Die Apotheken in Deutschland konnten vorübergehend keine Dokumente für die digitalen Impfpässe ausgeben.

Grund dafür war wohl eine Sicherheitslücke. Aufgrund eines Hinweises auf eine Schwachstelle beim Zugang von Apotheken zum Webportal des Deuschen Apothekerverbands (DAV) wurde die Ausstellung von Impfzertifikaten deshalb vorübergehend deaktiviert.

Sicherheitslücke bei Impfzertifikaten – neue Daten-Infrastruktur

Alle Zugänge wurden überprüft, laut Gesundheitsministerium waren von der Sicherheitslücke potenziell allerdings nur die wenigen hundert Apotheken betroffen, die nicht Mitglied des DAV sind. Die Ausstellung der Impfnachweise in Papierform lief währenddessen ohnehin weiter wie gewohnt, sagte ein Sprecher des DAV unserer Redaktion.

Seit Donnerstag bieten die Apotheken den Service für das digitale Impfzertifikat nun schrittweise wieder an. Wie viele Apotheken bereits wieder Zertifikate ausstellen, war zunächst nicht bekannt. Man rechne damit, dass in den nächsten Tagen die allermeisten wieder an das notwendige System angeschlossen seien, sagte ein Sprecher der Bundesvereinigung Deutscher Apothekerverbände (Abda).

Auf dem bundesweiten Verbraucherportal www.mein-apothekenmanager.de können sich Geimpfte vorab informieren, welche Apotheke in ihrer Nähe diesen Service anbietet.

Sicherheit bei der Ausstellung in Apotheken: Tests abgeschlossen

Um die Sicherheit ab sofort weiter zu erhöhen, haben Bundesgesundheitsministerium (BMG) und DAV vereinbart, dass das Fachmodul „Digitales Impfzertifikat“ in den Apotheken über die Telematikinfrastruktur (TI) erreicht wird. Nach erfolgreichen Tests wurde das Modul inzwischen wieder an den RKI-Zertifikatsserver angeschlossen.

Damit steht das Impfzertifikatportal des DAV ab sofort über die TI zur Verfügung. Die einzelnen Apotheken werden von ihren für die TI-Anbindung zuständigen EDV-Dienstleistern mit den notwendigen Updates versorgt. Die TI vernetzt alle Akteure des Gesundheitswesens und gewährleistet den sektoren- und systemübergreifenden sowie sicheren Austausch von Informationen.

Testpflicht für Reiserückkehrer schon ab August geplant Testpflicht für Reiserückkehrer schon ab August geplant

Digitaler Impfpass: IT-Experten decken Sicherheitslücke auf

Das "Handelsblatt" hatte zuletzt mit Hilfe der IT-Sicherheitsexperten André Zilch und Martin Tschirsich eine gravierende Sicherheitslücke bei der Erstellung der digitalen Impfnachweise aufgedeckt.

Ihnen war es gelungen, innerhalb von 48 Stunden unbemerkt auf das Impfnachweis-Portal des DAV zuzugreifen und gültige Zertifikate zu erstellen – ohne Prüfung, ob die betreffende Person geimpft ist oder nicht. Apotheken, die nicht Mitglied in Landesverbänden sind, müssen sich über dieses Portal mit einem Gastzugang registrieren. Dann können auch sie digitale Impfzertifikate austellen.

Zilch und Tschirsich konnten erfolgreich einen solchen Gastzugang für einen nicht existierenden Apotheker erstellen, teilt der DAV mit. "Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt."

Digitale Impfnachweise in Apotheken auf unbestimmte Zeit gestoppt

Nachdem das "Handelsblatt" auf die Sicherheitslücke hingewiesen habe, sei die Ausstellung der digitalen Impfzertifikate in Rücksprache mit dem Bundesgesundheitsministerium gestoppt worden, hieß es weiter seitens des DAV.

Zunächst wurden alle über einen Gastzugang registrierten Apotheken überprüft. Bis vergangenen Freitag habe es keine Hinweise auf weitere falsche Apotheken im System gegeben, gab das Bundesgesundheitsministerium bekannt. "Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden", meldete der DAV.

Doch wie das Nachrichtenportal "Watson" berichtet, sind im Darknet bereits Impfpässe angeboten worden, an deren Kennziffern sich die Ausstellung durch eine Apotheke belegen lässt. "Es ist ziemlich wahrscheinlich, dass die kriminellen Anbieter eine der aufgezeigten Schwachstellen des DAV-Portals nutzen", sagte It-Sicherheitsexperte Tschirsich dem "Handelsblatt".

Wie funktioniert der digitale Impfpass?

Um einen digitalen Impfpass über eine Corona-Impfung zu erhalten, legen Geimpfte bei registrierten Apotheken ihren Impfausweis und ihren Personalausweis vor. Die Apotheke trägt diese dann in das RKI-Meldesystem ein, woraufhin ein QR-Code erstellt wird, mit dem Geimpfte ihre Impfung in der Corona-Warn-App digital nachweisen können.

Impfung nachweisen: So funktioniert der digitale Impfpass

Der digitale Impfpass wurde im Juni eingeführt, um das Reisen innerhalb der EU oder aber auch den Einlass in Restaurants, Kinos und Museen zu vereinfachen. Er soll den gelben Impfpass ablösen - wobei der digitale Nachweis nicht verpflichtend ist.

(mit bml)