Digitaler Impfpass: Kein Zertifikatsrückruf unter dieser Apotheke

Die Apotheken in Deutschland geben derzeit keine digitalen Impfnachweise mehr aus, da der Deutsche Apothekerverband (DAV) dies nach Sicherheitsbedenken gestoppt hat. Doch das System hat ein technisches Problem: Ein bisher von einer Apotheke ausgestelltes Zertifikat kann kaum sinnvoll zurückgezogen werden - außer es werden sämtliche Zertifikate von allen Apotheken zurückgezogen. Das wären derzeit immerhin rund 25 Millionen Zertifikate.

Auf das Problem hingewiesen haben die Sicherheitsforscher André Zilch und Martin Tschirsich, die sich Zugang zu dem Portal der Apotheken verschaffen konnten, indem sie sich als Apothekenbetreiber ausgaben und einen Zugang beantragten. Auf diese Weise konnten sie selbst Impfnachweise ausstellen.

Doch neben den Sicherheitsforschern haben offensichtlich auch Kriminelle Zugriff auf das System und bieten illegale Impfnachweise zum Kauf an. Diese müssten nun zurückgezogen werden, was aber im System nicht vorgesehen ist.

Bekannt ist das grundsätzliche Problem aber schon viel länger. Bereits vor rund einem Monat wies Thomas Siebert, Head of Protection Technologies bei dem Sicherheitsunternehmen GData, genau darauf hin.

Siebert hatte sich für eine Untersuchung der Architektur der digitalen Impfnachweise einen Decoder für die QR-Codes erstellt, wie er auf Nachfrage von Golem.de bestätigte. Golem.de-Autor Hanno Böck hat einen ähnlichen Decoder auf Github veröffentlicht. Dieser zeigt lediglich die Daten in dem Impfnachweis an. Eine Verifikation wird explizit nicht vorgenommen.

Bei der Analyse verschiedener Impfnachweise aus Apotheken fiel Siebert so auf, dass diese alle von einem zentralen Schlüssel stammen. "Die Signatur wird letztlich über das Portal des Deutschen Apothekerverbands mit dessen Schlüssel ausgestellt, nicht durch die ausgebende Apotheke", schreibt er in einem Blogbeitrag.

Apothekerverband erstellt die Zertifikate mit einem zentralen Schlüssel

Siebert erklärte dazu Golem.de: "Bisher ist für das Zurückziehen von digitalen Impfnachweisen allerdings nur eine Möglichkeit vorgesehen: Das Zurückziehen des missbräuchlich verwendeten digitalen Schlüssels. Sämtliche vom Apothekerverband generierten Impfnachweise verwenden aber den gleichen Schlüssel. Deshalb können nur alle in Apotheken erstellten Impfnachweise auf einen Schlag zurückgezogen werden." Praktikabel erscheint das kaum, immerhin müssten alle Impfnachweise dann neu ausgeben werden, mit entsprechendem Aufwand für alle Beteiligten.

"Ein weiterer Weg wäre die Sperrung anhand des Zertifikatsidentifikators (Unique Vaccination Certificate/Assertion Identifier, UVCI), die Teil des Impfnachweises ist. Darin enthalten ist eine eindeutige Identifikationsnummer für die ausgebende Apotheke oder auch Impfzentrum," erklärte Siebert bereits Ende Juni. Doch schon damals schränkte er ein: "Allerdings wird dieses Format zumindest für Apotheken erst seit wenigen Tagen verwendet. Zuvor wurde für sämtliche Zertifikate als Issuer 'DAVPU' angegeben, also der Deutsche Apothekerverband."

Zurückziehen könnte bei neuen Zertifikaten funktionieren, bei alten nicht

Zwar ist das Zurückziehen von gefälschten Impfnachweisen mithilfe der UVCI künftig möglich. Mit Blick auf Medienberichte, die bereits illegal ausgestellte Zertifikate thematisieren, ergibt sich aber ein weiteres Problem.

Siebert sagt dazu: "Sollte sich herausstellen, dass in einer Apotheke zuvor flächendeckend falsche Impfzertifikate ausgestellt wurden, könnten diese Zertifikate nicht zurückgerufen werden. Es könnten höchstens alle Zertifikate aller Apotheken bis zu diesem Zeitpunkt zurückgerufen werden - mit entsprechenden Kosten."

Unklar bleibt, ob und wann das Zertifikatsystem der Apotheken wieder angefahren wird und wie mit den bisher ausgestellten Zertifikaten umgegangen wird. Immerhin: Ärzte und Impfzentren sind nicht betroffen, diese verwenden andere Schlüssel.