- DAZ.online
- News
- Apotheke
- „Das Zertifikate-Modul ...
IT-Sicherheitexperten im Interview
„Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV“
Die Apotheken sind derzeit nicht in der Lage, nachträglich digitale Impfzertifikate auszustellen. Hintergrund ist laut DAV, dass IT-Experten Sicherheitslücken aufgedeckt haben. Dem widersprechen die beiden Verantwortlichen, Dr. André Zilch und Martin Tschirsich, jedoch ausdrücklich im DAZ-Interview: Die Mängel seien schon länger bekannt gewesen, der DAV habe darauf aber nicht reagiert. Man sah sich also gezwungen, die Schwachstellen noch einmal praktisch aufzuzeigen. Denn das Ansehen des deutschen Impfzertifikats habe im Ausland bereits Schaden genommen – mit erlebbaren Nachteilen für die Geimpften.
DAZ: Herr Dr. Zilch, Herr Tschirsich, der „Handelsblatt“-Beitrag, in dem Sie eklatante Sicherheitsmängel beim Authentifizierungsprozess der Apotheken im DAV-Portal aufzeigen, hat unter den Apotheker:innen hohe Wellen geschlagen. Was genau ist passiert? Wie konnten Sie an einen Zugang zum Portal gelangen?
Tschirsich: Zunächst haben wir das DAV-Portal geöffnet und geschaut, wie wir einen Zugang bekommen können. Verbandsmitglied zu werden, war uns zu aufwendig, deshalb haben wir uns entschieden, einen Gastzugang zu beantragen. Wir haben das entsprechende Formular ausgefüllt mit Vorname, Nachname, Adresse, E-Mail-Adresse und so weiter.
Zudem brauchten wir eine Kopie einer Betriebserlaubnis sowie einen Nachweis, dass die Apotheke auch aktiv ist, also eine Bescheinigung des Nacht- und Notdienstfonds. Beides haben wir uns einfach selbst gebastelt und unseren Antrag über eine anonyme E-Mail-Adresse an den DAV geschickt mit der Bitte, uns einen Zugangscode zu schicken. Das war am Sonntagabend und schon am nächsten Morgen kam eine Mail vom DAV, dass die Dokumentenprüfung erfolgreich gewesen sei. Am Dienstag hatten wir den Code dann im Briefkasten und konnten uns registrieren.
Mehr zum Thema
IT-Experten erfinden Fake-Apotheker
DAV stoppt Erstellen von Impfzertifikaten über das Apothekenportal
Aber für die Registrierung brauchten Sie doch eine Telematik-ID …
Dr. Zilch: Wir haben einfach eine Zahlenfolge eingegeben, die von der Länge her passte. Sie sah also aus wie eine Telematik-ID, war aber gar keine echte.
Der DAV schreibt in seinem Statement von „professionell gefälschten Dokumenten“. War es für den Verband möglicherweise gar nicht erkennbar, dass Sie keine echte Apotheke betreiben?
Dr. Zilch: Nein. Wir haben bewusst so viele Sollbruchstellen in den Prozess eingebaut, dass es hätte auffallen müssen. Wir hatten eine falsche Telematik-ID, die Apotheke war komplett ausgedacht, unter der von uns angegebenen Adresse ist ein Mehrfamilienhaus zu finden … Das hätte innerhalb von Minuten auffallen müssen, selbst wenn man kein Apothekenverzeichnis verwendet, sondern sich auf die Recherche mithilfe von Internet-Suchmaschinen beschränkt.
Tschirsich: Wir haben für das Basteln unserer fiktiven Betriebserlaubnis zum Beispiel lediglich eine Betriebserlaubnis einer echten Apotheke ergoogelt und diese dann mit ganz simplen Programmen bearbeitet. Das hätte jeder Siebtklässler hinbekommen. Das Aufwendigste war eine Google-Suche mit den Stichwörtern Betriebserlaubnis und Apotheke.
Wie sind Sie überhaupt darauf gekommen, sich das Apothekenportal genauer anzuschauen?
Tschirsich: Es kursieren bereits seit längerer Zeit gefälschte Impfzertifikate, die etwa über Messenger-Gruppen verkauft werden – für gerade einmal 150 bis 300 Euro. Wenn man sich diese Zertifikate anschaut, fällt auf, dass sie alle über das DAV-Portal erstellt wurden. Das hat zur Folge, dass zum Beispiel in der Schweiz deutsche Impfzertifikate nicht mehr denselben Stellenwert haben wie Schweizer Zertifikate – mit entsprechenden Nachteilen, zum Beispiel für Pendler.
17 Kommentare
Gastzugang
von pille62 am 26.07.2021 um 8:24 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Kriminelle Energie
von Radman am 24.07.2021 um 21:03 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Austausch
von Schlenker am 24.07.2021 um 12:23 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Hacker
von Conny am 24.07.2021 um 6:58 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Fälschung ist Fälschung
von J.M.L. am 23.07.2021 um 19:27 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Dringende Empfehlung
von Armin Spychalski am 23.07.2021 um 19:01 Uhr
» Auf diesen Kommentar antworten | 2 Antworten
AW: Dringende Empfehlung
von J.M.L. am 23.07.2021 um 19:13 Uhr
AW: Dringende Empfehlung
von Karl Otto am 04.08.2021 um 15:38 Uhr
Richtig reagieren
von Carsten Moser am 23.07.2021 um 18:51 Uhr
» Auf diesen Kommentar antworten | 2 Antworten
AW: Richtig reagieren
von J.M.L. am 23.07.2021 um 19:03 Uhr
AW: Richtig reagieren
von C.Lutsch am 24.07.2021 um 10:43 Uhr
Arbeitsmoral
von Stefan Haydn am 23.07.2021 um 18:47 Uhr
» Auf diesen Kommentar antworten | 1 Antwort
AW: Arbeitsmoral
von Carsten Moser am 23.07.2021 um 18:53 Uhr
Viele Köche .....
von Thomas am 23.07.2021 um 18:42 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Ja gehts noch ???
von J.M.L. am 23.07.2021 um 18:20 Uhr
» Auf diesen Kommentar antworten | 2 Antworten
AW: Ja gehts noch
von Philipp Hoffmann am 23.07.2021 um 18:55 Uhr
AW: Auf jeden Fall
von Carsten Moser am 23.07.2021 um 18:56 Uhr
Das Kommentieren ist aktuell nicht möglich.