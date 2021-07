„Gravierende Sicherheitslücke“

In deutschen Apotheken werden zunächst keine Impfzertifikate mehr ausgestellt. IT-Spezialisten haben eine gravierende Sicherheitslücke im System festgestellt.

Berlin ‒ Apotheken in ganz Deutschland können seit Mittwoch (21.07.2021) keine Corona*-Impfzertifikate mehr ausstellen. Gravierende Sicherheitslücken im System würden es Betrügern leicht machen, sich Zugang zum System zu verschaffen und unrechtmäßig Zertifikate auszustellen. Der Deutsche Apothekerverband (DAV) teilte am Donnerstag (22.07.2021) mit, dass die Ausstellung digitaler Zertifikate für die vollständige Corona-Impfung in Rücksprache mit dem Bundesgesundheitsministerium gestoppt worden sei.

Dem Handelsblatt war es demnach gelungen „mithilfe von professionell gefälschten Dokumenten“ auf dem DAV-Server einen Gastzugang für einen nicht existierenden Apothekeninhaber zu erzeugen, mit dem dann zwei fingierte Impfzertifikate ausgestellt worden seien. Aktuell würden deshalb die angemeldeten Betriebsstätten einer Überprüfung unterzogen, heißt es in der Mitteilung.

Digitaler Corona-Impfnachweis: Nur 3 Prozent der Apotheken mit Gastzugang registriert

Der DAV erklärte in seinem Statement, dass mit dem Online-System „Mein Apothekenportal“ innerhalb kürzester Zeit eine Infrastruktur aufgebaut worden sei, über die Apotheken vor Ort digitale Nachweise für die Corona-Impfung ausstellen konnten. Nur so sei es überhaupt möglich gewesen, pünktlich zur Urlaubszeit zahlreiche digitale Impfpässe auszustellen. Zunächst sei das Portal laut DAV nur für Apotheken vorgesehen gewesen, die Mitglieder in den jeweiligen Landesapothekerverbänden sind. „Da deren aktuelle Daten im Mitgliederverzeichnis gelistet sind, war und ist eine zweifelsfreie und sichere Authentifizierung dieser Apotheken auf dem Portal jederzeit gewährleistet“, erklärt der Deutsche Apothekerverband.

Später seien dann auch Gastzugänge für Apotheken ermöglicht worden, deren Inhaber keine Verbandsmitglieder sind. Unter allen auf dem Portal Registrierten Apotheken betreffe dieser Gastzugang allerdings nur 470 Apotheken - etwa drei Prozent. Nicht-Mitglieder mussten dann für eine erfolgreiche Registrierung ihre amtliche Betriebserlaubnis und einen aktuellen Bescheid des Nacht- und Notdienstfonds zum Nachweis eines laufenden Betriebs vorlegen.

Gefälschte Nachweise von Corona-Impfungen? Verband prüft Zugänge auf Betrug

Mit professionellen Fälschungen eben dieser Dokumente hatte das Handelsblatt auf dem DAV-Server einen Gastzugang für einen nicht existierenden Apothekeninhaber erstellt. Der Verband betonte, dass eine solche unrechtmäßige Registrierung „nur mit erheblichem Aufwand und krimineller Energie“ zu erstellen sei. Bis Donnerstagmittag hätten Überprüfungen des DAV zudem keine Hinweise auf andere unberechtigte Zugänge ergeben. Die Betriebe, die mit Gastzugängen im System registriert sind, würden ohnehin mehrfach pro Woche überprüft werden, so der Verband.

+ Das digitale Corona-Impfzertifikat aus der Apotheke sollte vor allem in der Urlaubszeit einiges erleichtern. Im System zur Ausstellung des Nachweises ist jetzt eine Sicherheitslücke aufgetaucht. © Eduardo Parra/dpa

Digitale Corona-Impfzertifikate: IT-Spezialisten decken Schwachstellen im System auf

Das Handelsblatt teilte auf Anfrage mit, es sei richtig, dass das Blatt eine gravierende Sicherheitslücke bei der Erstellung digitaler Impfnachweise* aufgedeckt habe. „Jedoch hat nicht das Handelsblatt selbst sich einen Zugang zum System verschafft; zwei IT-Sicherheitsspezialisten haben die Schwachstelle offengelegt und damit demonstriert, dass es bei dem Portal deutliche Mängel gibt“, erklärte eine Verlagssprecherin.

Wann die Apotheken wieder Impfzertifikate ausstellen können, steht nach Angaben des DAV noch nicht fest. Es sei aber davon auszugehen, dass die über 25 Millionen Corona-Impfzertifikate, die bisher ausgestellt worden seien, alle von rechtmäßig registrierten Apotheken stammen. (iwe/dpa) *fr.de ist ein Angebot von IPPEN.MEDIA.

Rubriklistenbild: © Eduardo Parra/dpa