Zwei IT-Experten decken einen eklatanten Sicherheitsmangel im DAV-System zur Erstellung von Impfnachweisen auf. Das Pikante daran: Ihre Warnungen wurden überhört – und sie sollen jetzt dafür bestraft werden.
Der DAV wollte schneller sein als alle anderen und hat dabei eklatante Sicherheitslücken offengelassen – ob bekannt oder nicht, darüber wird nun zu befinden sein. Leidtragende waren in dieser Woche vor allem die Apotheker und die Patienten, die einen digitalen Impfnachweis haben wollten, denn die Seite des DAV war plötzlich nicht mehr erreichbar. Unfair ist es, jetzt den Apotheken per se die Schuld hinzuschieben, denn der einzelne Apotheker wusste nicht mehr darüber als die Öffentlichkeit und wurde wieder einmal erst durch die Medien informiert.
Doch fangen wir von vorne an. Am 22. Juli stand auf einmal auf der Seite „Mein Apothekenportal“, über die wir Apotheken die Impfnachweise erstellen, dass „aktuell die Ausstellung von digitalen Impfzertifikaten nicht möglich“ ist und wir umgehend darüber informiert werden, wenn dieser Zustand ein Ende hat. Alles sah zunächst nach einer technischen Störung des Servers aus und niemand in der Apotheke ahnte zu diesem Zeitpunkt den brisanten Hintergrund. Das RKI wusste aber bereits mehr als die Apotheken vor Ort und verwies auf Probleme mit der Sicherheit.
Man begann zu ahnen, dass dieses Mal mehr hinter der Abschaltung der Apotheken steckt als nur ein Serverproblem, wie es noch vor einigen Wochen der Fall war.
Nach und nach kam die Wahrheit ans Licht, denn es stellte sich heraus, dass die IT-Experten Dr. André Zilch und Martin Tschirsich mithilfe gefälschter Dokumente – unter anderem einer Betriebserlaubnis und eines Bescheides des Nacht- und Notdienstfonds – einen angeblichen Apothekeninhaber in das Portal eingeschleust hatten, den es gar nicht gab. Sie konnten laut ihrer Aussage gegenüber dem Handelsblatt „unbemerkt auf das Impfnachweis-Portal der Apotheken zuzugreifen und gültige Zertifikate erstellen – ohne Prüfung, ob die betreffende Person geimpft ist oder nicht“. Zilch betonte gar, „dass der Zugang zu den digitalen Impfnachweisen de facto gar nicht gesichert“ ist.
Es ist eigentlich allen Beteiligten klar, dass diese Sicherheitslücken nicht entstanden wären, wäre der politische Druck nicht so groß gewesen, innerhalb weniger Tage ein solches System aus dem Boden zu stampfen. War das vielleicht sogar der eigentliche Grund für die anfängliche Ablehnung des DAV, auch Nichtmitglieder auf das Portal zugreifen zu lassen? Wusste der DAV im Vorfeld bereits um die Sicherheitsprobleme, die sich auftun, wenn nicht jede Neuanmeldung umfassend kontrolliert werden kann? Hans-Peter Hubmann, Vorsitzender des Bayrischen Apothekenverbandes, wurde damals sehr deutlich, als er davon sprach, dass er es legitim findet, ausschließlich die Mitgliedsapotheken des DAV für diesen Service freizuschalten. „Ich möchte keine Trittbrettfahrer, Schmarotzer kann ich nicht brauchen“, sagte er damals. Wie Recht er damit hatte, zeigt sich nun, denn es kann tatsächlich niemand nachweisen, ob sich außer den IT-Experten nicht doch noch ein Externer eingeschlichen hat, um Zertifikate zu erstellen, die er später im Netz anonym verkauft.
Fälschlich ausgestellte Zertifikate können offenbar nicht gelöscht werden, daher sind auch die Zertifikate von Dr. André Zilch und Martin Tschirsich heute noch gültig. Man muss jetzt auf jeden Fall die Schlupflöcher stopfen, denn es kann nicht sein, dass die Angabe der Nummer der Telematik-Infrastruktur zwar abgefragt, aber offenbar niemals überprüft wird. Die IT-Experten hatten bei der Anmeldung der fiktiven Sonnen-Apotheke einfach eine beliebige 19-stellige Zahl eingegeben, die durch das System akzeptiert wurde.
Was diese Geschichte außerdem zeigt, ist, dass es mit der Kommunikation mit den Apotheken wieder einmal hapert. Warum lässt man uns im Dunkeln stehen, den Kunden etwas von Serverproblemen erzählen und sie auf den nächsten Tag vertrösten, wenn man schon ganz genau weiß, dass die Seite aufgrund von Sicherheitsmängeln für mehrere Tage „down“ bleiben wird? Warum müssen wir den Grund dafür wieder erst einmal im Radio hören, bevor sich die Standesvertretung die Mühe macht, ihre Mitglieder adäquat zu informieren?
Interessant sind außerdem die Aussagen der beiden IT-Experten in einem Interview mit der DAZ. Darin geben sie an, sie seien auf die Idee gekommen, Sicherheitslücken im Portal aufzudecken, nachdem im Internet gefälschte Impfnachweise kursierten, die allesamt über das DAV-Portal erstellt wurden. Sowohl der Bundesregierung als auch dem DAV seien die eklatanten Sicherheitsmängel bekannt gewesen und man habe das Projekt trotzdem weiter vorangetrieben. Man wollte eben unbedingt bei den ersten dabei sein, die diese Zertifikate ausstellen können. Bei einem Zugang über die TI, wie sie auch die Ärzte und Impfzentren nutzen, hätte das so nicht passieren können. Dessen Freischaltung hat aber bekanntlich etwas länger gedauert.
Die Experten hätten zudem im Vorfeld auf die Mängel des Portals aufmerksam gemacht, seien aber ignoriert worden. Daraufhin erst hatten sie plakativ zeigen wollen, wie einfach es ist, das System zu hintergehen. Jeder, der sich nun darüber mokiert, dass die beiden Dokumente gefälscht haben, um an ihr Ziel zu kommen, sollte sich darüber im Klaren sein. Wären es tatsächlich Kriminelle gewesen, die das so durchgezogen hätten – wir hätten nun eine Flut an gefälschten Dokumenten auf dem Markt und müssten das Portal vermutlich dauerhaft abschalten und womöglich auch noch alle bereits erstellten Zertifikate löschen.
Das war eine weitere Geschichte voller Arroganz, Ignoranz, Machtdemonstrationen und Desinformation seitens der Bundesregierung und des DAV. Wer jetzt den Boten dafür hängen möchte, sprich die Herren Zilch Tschirsich wegen Urkundenfälschung verklagen will, der hat die Zusammenhänge noch immer nicht begriffen.
Bildquelle: Stephen Leonardi, Unsplash