Apotheke
» Alle Artikel

IT-Sicherheitexperten im Interview

„Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV“

Berlin - 23.07.2021, 17:50 Uhr

17

(Foto: DAZ / Julia Borsch)

(Foto: DAZ / Julia Borsch)

„Der Vorgang zeigt, wie beim DAV gearbeitet wird“

War das dem DAV bekannt?

Tschirsich: Ja. Wir haben erst in der vergangenen Woche eine Stellungnahme im Unterausschuss Pandemie im Bundestag abgegeben, aus der hervorgeht, dass unter anderem wegen fehlender sicherer digitaler Identitäten der Apotheken gefälschte Zertifikate im Umlauf sind. Der DAV hat aber stets abgewiegelt, dass ihm keine solchen Vorgänge bekannt sind und er deswegen auch keinen Handlungsbedarf sehe. Da haben wir beschlossen, dass wir nun mal ganz plakativ zeigen müssen, wie einfach es ist, an einen Zugang zu gelangen.

Dr. Zilch: Der ganze Vorgang zeigt doch, wie beim DAV gearbeitet wird. Nicht nur, dass der Authentifizierungsprozess ungenügend ist, auch die Umsetzung dieses Prozesses war mangelhaft. Es ist auch niemandem aufgefallen, dass wir uns einen Zugang beschafft hatten, bis letztlich das „Handelsblatt“ den DAV darauf aufmerksam gemacht hat.

Würden Sie sagen, der DAV war in diesem Punkt etwas unbedarft?

Dr. Zilch: Es ist nicht nur Unbedarftheit, da schwingt auch eine ganze Menge Ignoranz mit. Die Hinweise waren seit langem bekannt. Bereits im März haben wir das entsprechende Portal-Pendant in der Schweiz untersucht und gezeigt, dass es auch dort neben technischer zusätzlich organisatorische Probleme gab. Man hat das Portal damals vom Netz genommen und bis heute nicht wieder freigeschaltet.

Hat denn die deutsche Politik – allen voran das Bundesministerium für Gesundheit, das für den Zertifikate-Server verantwortlich ist – daraus nichts gelernt?

Tschirsich: Eigentlich schon. Es gab eine Ausschreibung hierzulande, in denen notwendige Sicherheitsstandards eingefordert wurden. Zum Beispiel sollte es nur über die Telematikinfrastruktur möglich sein, digitale Impfnachweise auszustellen. Dann gab es allerdings eine kurzfristige Änderung des Infektionsschutzgesetzes, die es auch Apothekern ermöglichte, nachträglich solche Zertifikate zu erzeugen. Vonseiten des BMG gab es daraufhin einen gewissen zeitlichen Druck, denn man wollte zügig damit starten, um am EU-Pilotprojekt zu den Zertifikaten teilzunehmen und eines der ersten Länder zu sein, das digitale Impfnachweise erstellen kann.

Und vor diesem Hintergrund hat das Ministerium die strengen Regeln gelockert?

Tschirsich: Der DAV hat dem BMG sein Portal angeboten und das Ministerium hat zugegriffen. Obwohl das Portal die Sicherheitsanforderungen der ursprünglichen Ausschreibung deutlich unterschreitet, hat man IBM als Betreiber des Zertifikateservers nahegelegt, es dennoch anzubinden. Das heißt: Jeder hat von Anfang an gewusst, dass das DAV-Portal unsicher ist. Denn es ist zum Beispiel einfach über das Internet erreichbar und nicht in die TI eingebunden. Zudem reicht eine Authentifizierung mittels Benutzernamen und Passwort.

Dr. Zilch: Diese einfache Authentifizierung ist ein echtes Problem. Beim Online-Banking etwa gibt es verpflichtend einen zweistufigen Prozess. Da haben Sie zum Beispiel noch eine App auf dem Handy, in der Sie Ihre Anmeldung bestätigen müssen, oder sollen eine TAN eingeben. Denn Passwörter können weitergegeben werden. Bei den Ärzten sieht es anders aus: Die Praxen sind über ihre Praxisverwaltungssysteme und damit über die TI an den Server angeschlossen. Da kann sich niemand ohne Weiteres von außen einwählen.

Seite 1

„Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV“

Seite 3

„Wir haben nie gefordert, das Zertifikate-Modul abzuschalten“

Julia Borsch, Apothekerin, Chefredakteurin DAZ
jborsch@daz.online

Christina Müller, Apothekerin und Redakteurin, Deutsche Apotheker Zeitung (cm)
redaktion@daz.online

Diesen Artikel teilen:

Seite drucken
Ganzen Artikel drucken
Startseite

Das könnte Sie auch interessieren

Berliner Datenschutzbeauftragte prüft Sicherheitslücke im DAV-Portal

Deutscher Apothekerverband muss sich erklären

Berliner Datenschutzbeauftragte prüft Sicherheitslücke im DAV-Portal

Zwangspause für digitale Impfzertifikate

Apotheken wissen auch zu Wochenbeginn noch nicht, wie es weitergeht

Zwangspause für digitale Impfzertifikate

IT-Experte: Für Impfzertifikate brauchen Apotheken das DAV-Portal nicht

Nach dem Stopp der Ausstellung

IT-Experte: Für Impfzertifikate brauchen Apotheken das DAV-Portal nicht

Keine Impfzertifikate: Wie gut fühlen Sie sich informiert und was sind die Folgen?

DAZ-Umfrage

Keine Impfzertifikate: Wie gut fühlen Sie sich informiert und was sind die Folgen?

Mein liebes Tagebuch

Die letzte Woche 

Mein liebes Tagebuch

Technische Probleme beim DAV-Portal

Digitale Impfzertifikate

Technische Probleme beim DAV-Portal

DAV: Heute keine Impfzertifikate, morgen weitere Infos

Verbändeportal

DAV: Heute keine Impfzertifikate, morgen weitere Infos

Apotheken können ab 14. Juni digitale Impfnachweise ausstellen

Nach Registrierung im DAV-Portal

Apotheken können ab 14. Juni digitale Impfnachweise ausstellen

Es ruckelt nach wie vor

Modul für Impfzertifikate nun an die Telematikinfrastruktur angebunden

Es ruckelt nach wie vor

DAV stoppt Erstellen von Impfzertifikaten über das Apothekenportal

IT-Experten erfinden Fake-Apotheker

DAV stoppt Erstellen von Impfzertifikaten über das Apothekenportal

17 Kommentare

Gastzugang

von pille62 am 26.07.2021 um 8:24 Uhr

....vor Wochen wurde von einem Verbandsfunktionär großspurig angekündigt, das wer nicht Verbandsmitglied ist keinen Zugang bekommt.
Und dann scheint dieser Gastzugang leicht mit Fakedaten zu fütternsein.
So bedauerlich das ist, haben die Apotheker mal wieder bewiesen, das wir es nicht können und nicht weil Fehler nicht vermeidmar wären, sondern weil man permanent suggeriert alles im Griff zu haben.
Mehr Ignoranz geht nicht!
Unsere Gegner haben erneut die Gelegenheit sich vor Lachen auf die Schenkel zu klopfen und sie werden das gegen uns ausschlachten.

» Auf diesen Kommentar antworten | 0 Antworten

Kriminelle Energie

von Radman am 24.07.2021 um 21:03 Uhr

Ich möchte wissen, wer die beiden Herren beauftragt hat, die technischen Schwachstellen aufzudecken. Wenn sie auf eigener Faust gehandelt haben, dann haben sie sich strafbar gemacht. Wenn man eine Geldkarte kopiert und damit Geld abhebt, dann ist das eine kriminelle Handlung, auch wenn er behauptet, dass er nur Sicherheitslücken aufdecken wollte. Ich erkenne bei den Beiden nur kriminelle Energie und nichts anderes .Dieses Handeln muss angezeigt werden. Schadenersatzansprüche sind vorbehalten.

» Auf diesen Kommentar antworten | 0 Antworten

Austausch

von Schlenker am 24.07.2021 um 12:23 Uhr

Hätte die Kammer mit dem DAV einen Datenaustausch der richtigen Apothekendaten ermöglicht wäre das alles nicht möglich gewesen. Ist dies etwa nicht möglich? Hätte uns Apotheken vor Ort viel Ärger erspart. Alle richtige Daten liegen bei der Kammer- da ist es doch kein Problem diese Daten zur Echtheit einer Apotheke abzugleichen- oder sehe ich das falsch ??

» Auf diesen Kommentar antworten | 0 Antworten

Alle weiteren 7 Kommentare verbergen

Hacker

von Conny am 24.07.2021 um 6:58 Uhr

Ein Vorgeschmack auf das E-Rezept

» Auf diesen Kommentar antworten | 0 Antworten

Fälschung ist Fälschung

von J.M.L. am 23.07.2021 um 19:27 Uhr

@ Philipp Hoffmann: Pappkarton suggeriert, die Fälschung wäre leicht zu erkennen gewesen, da möchte ich aber erst die echte Fälschung sehen um mir hier ein Urteil zu erlauben! Unzählige Urkunden in der kurzen Zeit so genau unter die Lupe zu nehmen und immer googeln ob ein Wohnhaus dahinter steckt, also mein lieber Herr Gesangsverein, normalerweise nehme ich den DAV nicht unbedingt in Schutz, aber hier ausdrücklich!

» Auf diesen Kommentar antworten | 0 Antworten

Dringende Empfehlung

von Armin Spychalski am 23.07.2021 um 19:01 Uhr

Ich möchte den Herren Experten empfehlen, sich anderweitig zu profilieren. Vielleicht was Sinnvolles anfangen wie die Versorgung der Bevölkerung mit Arzneimitteln, allerdings müssten sie sich dann entsprechend qualifizieren - und nicht vergessen, die echte! Betriebserlaubnis einreichen, kleiner Tipp am Rande.

» Auf diesen Kommentar antworten | 2 Antworten

AW: Dringende Empfehlung

von J.M.L. am 23.07.2021 um 19:13 Uhr

Ich gebe Ihnen vollkommen Recht! Das Ganze stellt illegales Handels zu Gunsten der eigenen Profilierungssucht dar und dem Ganzen steht eine Strattat mit nicht unerheblichem Schadensausmaß zu Grunde (mal überschlagen 19000 Apotheken * wenigstens 40 entgangener Zertikate = ~ 5.000.000 Mio. €) , vom Imageschaden für Deutschland und dem Ärger der Betroffenen mal ganz zu schweigen, ich erwäge mich ggf. einer Klage anzuschließen.

AW: Dringende Empfehlung

von Karl Otto am 04.08.2021 um 15:38 Uhr

(mal überschlagen 19000 Apotheken * wenigstens 40 entgangener Zertikate = ~ 5.000.000 Mio. €)
Also 5 Billionen Euro finde ich etwas zu hoch gegriffen, das sind ja schon fast Apothekenpreise.

Richtig reagieren

von Carsten Moser am 23.07.2021 um 18:51 Uhr

Die einzig richtige Richtung - nach all diesen Griffen ins Klo - ist jetzt vorwärts.

Zilch und Tschirsisch haben bewiesen, dass sie von der Materie mehr Ahnung haben, als BMG, Gematik und DAV zusammen.
Die logische Schlussfolgerung ist, sie mit der Betreuung und Überwachung zukünftiger Projekte des DAV zu betreuen.

Eines ist jedenfalls mal sicher: Eine gemeinsame Plattform aller Apotheken in Deutschland muss VORHER von solchen Profis abgesegnet werden.

Wenn sich nach einem Launch solche gravierenden Lücken aufzeigen, dann ist das Projekt für ewige Zeiten verbrannt und bei den Kunden immer mit einem Stigma belegt. Dann wäre alles Geld zum Fenster raus geworfen!

Jetzt ist die Zeit das Kriegsbeil zu begraben, die Schuldzuweisungen einzustellen und gemeinsam für die gute Sache zu arbeiten!

» Auf diesen Kommentar antworten | 2 Antworten

AW: Richtig reagieren

von J.M.L. am 23.07.2021 um 19:03 Uhr

Also bitte - Eine Betriebserlaubnis aus dem Netz kopieren und mit PhotoShop bearbeiten sollte unter der Würde des ChaosComputerClub sein, ich dachte, die suchen nach tatsächlichen Schwachstellen, Lücken in der Programmierung, Fehlerhafte Codes, das ist ehrliches Arbeiten und bringt uns alle vorwärts - aber Dokumente fälschen ist eine ganz andere Dimension, bei Leibe kein Kavaliersdelikt! Und morgen ziehen sich die Herren ein analoges Blanko-Rezept aus dem Netz und manipulieren dieses genauso, hach wir haben eine Schwachstelle in der seit Jahrzehnten praktizierten analogen Welt gefunden - NEIN NEIN und nochmals NEIN - das ist unter der Würde eines echten "IT-Experten", mir wird echt übel ... Ich nehme die Mitarbeiter:innen beim DAV explizit in Schutz, eine professionell gefaktes Dokument einzureichen ist kriminell und für mich eine Strafttat mit bundesweit enormer Schadenssumme.

AW: Richtig reagieren

von C.Lutsch am 24.07.2021 um 10:43 Uhr

Doch, genau das ist es, was der CCC schon immer tut: Mit einfachen Mitteln, die jeder mit etwas krimineller Energie aufbringen kann, Schwachstellen im digitalen Bereich aufzuzeigen. Wenn es der CC nicht tut, tun es die Kriminellen - wenn diese nicht sogar schon aktiv sind. Insofern ist ist es durchaus wichtig, dass man auf Lücken im System hinweist.

Arbeitsmoral

von Stefan Haydn am 23.07.2021 um 18:47 Uhr

Ich hoffe mal der/die für die Prüfung der Dokumente zuständige Mitarbeiter*in darf gehen.
Offenbar hat hier jemand seinen Job so gut gemacht wie mancher Behördenmitarbeiter und das Gehalt im Schlaf kassiert.

» Auf diesen Kommentar antworten | 1 Antwort

AW: Arbeitsmoral

von Carsten Moser am 23.07.2021 um 18:53 Uhr

Sie meine, Sie kennen nicht so viele Apotheken im fünften Stock eines Hochhauses?

Spätestens bei der Zufallszahl bei der Telematik ID hört es aber mit dem Spaß auf.

Das bedeutet übrigens auch, dass das nur ein Spiegelfechter-Manöver war, dass wir die TID überhaupt eintragen mussten.

Viele Köche .....

von Thomas am 23.07.2021 um 18:42 Uhr

Selbstverständlich lässt die Motivation der beiden Herren durchaus Zweifel zu. Aber:
Wenn man mal die komplette Berichterstattung durchliest, alle Quellen kräftig schüttelt und neu ordnet, drängt sich einem der Schluss auf, dass hier keiner der Beteiligten ohne Schuld ist.....
Das BMG ordnet dem Wahlkampf jede Qualität und Sicherheit unter und lässt sich - weil selbst nicht vom Fach - schlecht beraten oder ignoriert die Ratschläge und seine eigenen Vorgaben. Der DAV tut Dinge, für die er nicht ausgebildet ist und agiert zumindest unglücklich (man könnte es auch als ignorant oder übermotiviert bezeichnen). IBM hätte es auch besser wissen müssen und bekleckert ebenfalls nicht mit Ruhm...... eine Verkettung menschlicher Fehler unter Bedingungen wie überzogenem Zeitdruck, Machtgeilheit und fehlgeleitetem Ehrgeiz....... Über allem schwebt der Digitalisierungswahn.
hausgemacht und schonungslos offengelegt.
Einzig die Reaktion, sofort und konsequent abzuschalten empfinde ich als logisch und richtig. Schliesslich geht es manchmal auch sehr gut (besser?) analog statt digital.

» Auf diesen Kommentar antworten | 0 Antworten

Ja gehts noch ???

von J.M.L. am 23.07.2021 um 18:20 Uhr

Das ist echt kriminelles Handeln was hier von den Herren Dr. Zilch und Tschirsich geschildert wird ! Ich wills mal umformulieren: "Ich hatte neulich kein Kleingeld mehr in der Tasche, das Aufwendigte war einen 100-Euro-Schein zu googeln, dann hab ich mir den einfach aus dem Netz gebastelt ..." ja gehts noch ??? Ich hoffe entsprechende Strafanzeigen wurden bereits erstattet...

» Auf diesen Kommentar antworten | 2 Antworten

AW: Ja gehts noch

von Philipp Hoffmann am 23.07.2021 um 18:55 Uhr

Also wenn sie diesen Schein anstandslos bei einer Bank hätten einzahlen können obwohl er auf pappkarton gedruckt wurde und sie hätten es danach öffentlich gemacht, wer würde dann an den Pranger gehören? Soe oder die Bank die die Fälschung nicht erkennt?

AW: Auf jeden Fall

von Carsten Moser am 23.07.2021 um 18:56 Uhr

Bitte nicht die Boten töten.

Das Kind war schon in den Brunnen gefallen.

Zudem wurden alle Beteiligten rechtzeitig informiert. Die Entscheidung des DAV, den Kopf in den Sand zu stecken und das Problem lange Zeit zu ignorieren ist zwar die klassische, aber nicht die richtige Reaktion auf solche Exploit-Meldungen.

Das Kommentieren ist aktuell nicht möglich.

Vorherige Seite

Nächste Seite

Inhalt

Seite 1: „Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV“ »
Seite 2: „Der Vorgang zeigt, wie beim DAV gearbeitet wird“ »
Seite 3: „Wir haben nie gefordert, das Zertifikate-Modul abzuschalten“ »
Seite 4: TI-Lösung würde auch ohne den DAV funktionieren »
Auf einer Seite lesen

Acetylsalicylsäure 1000 mg:
hohe Evidenz und gute Verträglichkeit bei akuten Kopfschmerzen

DOI: 10.52778/efsm.24.0052

Aktuelle Ausgabe
NR. 47
Cover Jetzt online lesen
Aktuelle Ausgabe
NR. 51-52
Cover Jetzt online lesen
Meist gelesen
Meist kommentiert

Meist gelesen

Was macht THC mit der Kognition? (Foto: Elroi/ AdobeStock)

Verbessert THC die Hirnleistung?
Bei Entlassrezepten müssen Apotheken künftig im Regelfall nicht mehr zum Telefon greifen, um retaxträchtige Unstimmigkeiten zu klären.  (Foto: fotofabrika/Adobe Stock)

Weniger Retaxgefahren bei Entlassrezepten

Sildenafil gibt es jetzt auch in einem Spray (Screenshot: Aspargo Labs)

Spontaner Sex mit Sildenafil-Suspension?

Günther Jauch ist das Gesicht der Shop Apotheke. (Foto: IMAGO / snowfieldphotography)

Shop Apotheke: 34 Millionen für Werbung im Oktober
Der zukünftige US-Präsident Donald Trump: (Foto: IMAGO/MediaPunch)

Trump-Sieg steigert Nachfrage nach oralen Notfallkontrazeptiva und Vasektomien

Meist kommentiert

Apothekers Baustellen bleiben uns vorerst erhalten. Mehr Honorar gibt's nicht. Und die Zukunft? 

Mein liebes Tagebuch
Dr. Robin Brünn fordert die ABDA-Mitgliederversammlung auf, ihren Prüfauftrag auf Stärkung der Hauptversammlung ernst zu nehmen. (Foto: DAZ/Schelbert)

Brünn: „Wir sollten den Apothekertag weiterdenken, statt ihn zu schwächen“
Keine Zeit für Regierungskrise: Die Grünen-Bundestagsabgeordnete Paula Piechotta (l.) und ABDA-Präsidentin Gabriele Regina Overwiening. (Foto: ABDA/Schult)

Grüne wollen sich intensiv für Apothekenstärkung einsetzen
Der „Cannabis Club Südwest“ in Achern ist einer der ersten zwei zugelassenen Anbauvereinigungen in Baden-Württemberg. (Screenshot: CC Südwest)

Wie lange hat die Cannabis-Legalisierung Bestand?
Holger Gnekow findet die Qualität einiger DAT-Anträge „wenig zielgerichtet“. (Foto: wes/DAZ)

„Schon heute nicht bindend“ oder „Entdemokratisierung“?

ApoNews

Apotheken-Reform
Article teaser image

Halsschmerzen

» Zu den Artikeln
Handverkauf

Pharmazeutische Dienstleistungen

via-Studie

Bürokratiekosten bei 
GKV-Rezepten

Impfen in Apotheken
Article image

Beratung

Hilfe bei chronischem Juckreiz

Neue Therapieoptionen, wenn das Jucken nicht mehr weggeht

» mehr
DAZ Abo

Lernen und Punkten »

Schwerpunkt Parkinson

Mobil dank guter Beratung

Mobil dank guter Beratung