Am Mittwoch, dem 21. Juli, wurde die Ausstellung der digitalen Corona-Impfzertifikate in Apotheken nach einem Beschluss des Deutschen Apothekerverbandes (DAV) sowie des Bundesgesundheitsministeriums vorerst gestoppt. Wie der DAV am Donnerstag in einer Stellungnahme verkündete, sei der Grund hierfür eine von IT-Experten gefundene Sicherheitslücke, die das Handelsblatt öffentlich machte.
Der DAV berichtet, dass das zur Ausstellung der Impfzertifikate errichtete Portal zunächst nur für Mitglieder der Landesapothekenverbände geschaffen wurde. Im Namen der wettbewerbsrechtlichen Anforderungen wurde hier jedoch die Möglichkeit geschaffen, dass auch Apotheken die nicht im Verband sind, sich für einen Gastzugang registrieren können. Zur Registrierung benötigten diese dabei neben der amtlichen Betriebserlaubnis einen aktuellen Bescheid über Nacht- und Notdienstfonds.
Nun war es unabhängigen IT-Experten gelungen, über gefälschte Dokumente einen solchen Gastzugang zu erstellen und sich somit als Aussteller für Corona-Impfzertifikate auszugeben. Zur Prüfung erstellten die ITler dabei zwei Impfzertifikate und gaben die Ergebnisse ihrer Arbeit an das Handelsblatt weiter, welches den DAV informierte.
Der Stand der bisherigen Prüfung seitens des DAV, ergab bisher keine weiteren unberechtigten Zugänge. „Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden“ heißt es in der Stellungnahme des DAV. Bisher ist noch unklar, wann wieder Impfzertifikate ausgestellt werden können.
Bereits am Freitag verkündete der DAV in einer weiteren Pressemitteilung, dass ab Montag, dem 26. Juli wieder Impfzertifikate in allen Apotheken des Landesapothekenverbandes ausgestellt würden. Demnach werden lediglich die Gastzugänge der Nicht-Verbandsmitglieder eingehender geprüft und dann schrittweise wieder geöffnet.
Die beiden IT-Experten äußerten sich mittlerweile in einem Interview mit der Deutschen Apothekerzeitung kritisch zum Vorgehen des DAV. „Den Umgang mit der Situation kritisieren wir deutlich. (...) Wir hätten gern geholfen, einen fließenden Übergang in sichere Strukturen zu ermöglichen, aber der DAV hat offenbar kein Interesse an einem Kontakt“ so Martin Tschirsisch.
Er und Dr. André Zilch prüften das Portal, nachdem ihre Hinweise auf den Handel mit gefälschten Zertifikaten via Messenger-Gruppen beim DAV auf taube Ohren stießen. Daraufhin wollte man mit der Aktion ein deutliches Zeichen setzen, wie einfach die Sicherheitsvorkehrungen des DAV-Portals zu umgehen seien „Das hätte jeder Siebtklässler hinbekommen“, kommentiert Tschirsich den Aufwand ihrer Prüfung. Bereits die Implementierung einer Zwei-Faktor-Authentifizierung könnte hier erhebliche Abhilfe schaffen.