Gefälschte Zugangsdaten: Apotheken stoppen Ausgabe digitaler Impfnachweise

Der Deutsche Apothekerverband (DAV) hat die Ausgabe digitaler Impfnachweise durch Apotheken vorläufig gestoppt. Hintergrund des Vorgehens sei die Möglichkeit, sich mit Hilfe gefälschter Dokumente einen Gastzugang zum Onlinesystem zu erschleichen, teilte der DAV am Donnerstag mit. "Wann die Ausstellung von Zertifikaten wieder aufgenommen wird, steht noch nicht fest, der DAV befindet sich im engen Austausch mit dem Bundesgesundheitsministerium", hieß es weiter.

Der Mitteilung zufolge war der Zugang zum Impfnachweis-Portal zunächst nur für Apotheken vorgesehen, deren Inhaber Mitglieder in den Landesapothekerverbänden sind. Da deren aktuelle Daten im Mitgliederverzeichnis gelistet seien, könne eine zweifelsfreie und sichere Authentifizierung dieser Apotheken gewährleistet werden, heißt es dazu. Aus Wettbewerbsgründen habe jedoch ein Gastzugang für solche Apotheken geschaffen werden müssen, die keinem Landesverband angehörten. Das betreffe 470 von knapp 17.900 registrierten Apotheken.

Zugang mit gefälschten Dokumenten

Die Wirtschaftszeitung Handelsblatt habe mithilfe professionell gefälschter Dokumente einen Gastzugang für einen nicht existierenden Apothekeninhaber erzeugt. "Dazu wurden eine gefälschte Betriebserlaubnis und ein gefälschter Bescheid des Nacht- und Notdienstfonds vorgelegt. Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt", heißt es weiter.

In Rücksprache mit dem Bundesgesundheitsministerium sei wegen dieser Möglichkeit die Herausgabe von Impfnachweisen am Mittwoch gestoppt worden. Eine Überprüfung der Gastzugänge habe bislang keine Hinweise auf unberechtigte Zugänge ergeben. Daher sei davon auszugehen, dass die mehr als 25 Millionen Impfzertifikate, die seit Mitte Juni über Apotheken ausgestellt wurden, alle von rechtmäßig registrierten Apotheken stammten.

Die Herausgabe der Impfnachweise durch Hausärzte oder Impfzentren ist von der Maßnahme nicht betroffen.

Nachtrag vom 22. Juli 2021, 17:33 Uhr

Dem Handelsblatt zufolge haben die beiden Sicherheitsexperten André Zilch und Martin Tschirsich die Sicherheitslücke aufgedeckt. Eine Überprüfung der beim Webportal angemeldeten Apotheken bringt ihrer Ansicht nach keine hundertprozentige Sicherheit, da sich Kriminelle auch die Anmeldedaten einer echten Apotheke erschlichen haben könnten.

Zudem gebe es keine Möglichkeit, bereits ausgestellte Impfnachweise nachträglich zu sperren. "Die einzig ehrliche Lösung wäre, die 25 Millionen Impfnachweise, die über das DAV-Portal ausgestellt wurden, allesamt für ungültig zu erklären", sagt Zilch. Das sei wegen der Kosten für neue Zertifikate aber eher unwahrscheinlich.

Einem Bericht des Schweizer Magazin Watson zufolge werden im Darknet bereits gefälschte Impfnachweise aus Deutschland angeboten. Diese verfügten über ein korrektes digitales Zertifikat.

Die Deals fänden über Messenger-Apps mit Ende-zu-Ende-Verschlüsselung statt. Gegen Bezahlung von etwa 138 Euro in einer Kryptowährung habe ein anonym bleibender Verkäufer jeweils ein gültiges Covid-Impfzertifikat als PDF-Datei übermittelt. Der ganze Prozess habe weniger als 30 Minuten gedauert.

Die Käufer selbst können dabei aber nicht anonym bleiben, sondern müssen ihren Namen und ihr Geburtsdatum übermitteln. Nach Einschätzung von Golem.de werden die digitalen Impfnachweise in der Praxis meist ohnehin nicht überprüft. Nur in Ausnahmefällen wird das Zertifikat mithilfe der Covpasscheck-App kontrolliert.