- DAZ.online
- News
- Apotheke
- „Das Zertifikate-Modul ...
IT-Sicherheitexperten im Interview
„Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV“
„Der Vorgang zeigt, wie beim DAV gearbeitet wird“
War das dem DAV bekannt?
Tschirsich: Ja. Wir haben erst in der vergangenen Woche eine Stellungnahme im Unterausschuss Pandemie im Bundestag abgegeben, aus der hervorgeht, dass unter anderem wegen fehlender sicherer digitaler Identitäten der Apotheken gefälschte Zertifikate im Umlauf sind. Der DAV hat aber stets abgewiegelt, dass ihm keine solchen Vorgänge bekannt sind und er deswegen auch keinen Handlungsbedarf sehe. Da haben wir beschlossen, dass wir nun mal ganz plakativ zeigen müssen, wie einfach es ist, an einen Zugang zu gelangen.
Dr. Zilch: Der ganze Vorgang zeigt doch, wie beim DAV gearbeitet wird. Nicht nur, dass der Authentifizierungsprozess ungenügend ist, auch die Umsetzung dieses Prozesses war mangelhaft. Es ist auch niemandem aufgefallen, dass wir uns einen Zugang beschafft hatten, bis letztlich das „Handelsblatt“ den DAV darauf aufmerksam gemacht hat.
Würden Sie sagen, der DAV war in diesem Punkt etwas unbedarft?
Dr. Zilch: Es ist nicht nur Unbedarftheit, da schwingt auch eine ganze Menge Ignoranz mit. Die Hinweise waren seit langem bekannt. Bereits im März haben wir das entsprechende Portal-Pendant in der Schweiz untersucht und gezeigt, dass es auch dort neben technischer zusätzlich organisatorische Probleme gab. Man hat das Portal damals vom Netz genommen und bis heute nicht wieder freigeschaltet.
Hat denn die deutsche Politik – allen voran das Bundesministerium für Gesundheit, das für den Zertifikate-Server verantwortlich ist – daraus nichts gelernt?
Tschirsich: Eigentlich schon. Es gab eine Ausschreibung hierzulande, in denen notwendige Sicherheitsstandards eingefordert wurden. Zum Beispiel sollte es nur über die Telematikinfrastruktur möglich sein, digitale Impfnachweise auszustellen. Dann gab es allerdings eine kurzfristige Änderung des Infektionsschutzgesetzes, die es auch Apothekern ermöglichte, nachträglich solche Zertifikate zu erzeugen. Vonseiten des BMG gab es daraufhin einen gewissen zeitlichen Druck, denn man wollte zügig damit starten, um am EU-Pilotprojekt zu den Zertifikaten teilzunehmen und eines der ersten Länder zu sein, das digitale Impfnachweise erstellen kann.
Und vor diesem Hintergrund hat das Ministerium die strengen Regeln gelockert?
Tschirsich: Der DAV hat dem BMG sein Portal angeboten und das Ministerium hat zugegriffen. Obwohl das Portal die Sicherheitsanforderungen der ursprünglichen Ausschreibung deutlich unterschreitet, hat man IBM als Betreiber des Zertifikateservers nahegelegt, es dennoch anzubinden. Das heißt: Jeder hat von Anfang an gewusst, dass das DAV-Portal unsicher ist. Denn es ist zum Beispiel einfach über das Internet erreichbar und nicht in die TI eingebunden. Zudem reicht eine Authentifizierung mittels Benutzernamen und Passwort.
Dr. Zilch: Diese einfache Authentifizierung ist ein echtes Problem. Beim Online-Banking etwa gibt es verpflichtend einen zweistufigen Prozess. Da haben Sie zum Beispiel noch eine App auf dem Handy, in der Sie Ihre Anmeldung bestätigen müssen, oder sollen eine TAN eingeben. Denn Passwörter können weitergegeben werden. Bei den Ärzten sieht es anders aus: Die Praxen sind über ihre Praxisverwaltungssysteme und damit über die TI an den Server angeschlossen. Da kann sich niemand ohne Weiteres von außen einwählen.
17 Kommentare
Gastzugang
von pille62 am 26.07.2021 um 8:24 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Kriminelle Energie
von Radman am 24.07.2021 um 21:03 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Austausch
von Schlenker am 24.07.2021 um 12:23 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Hacker
von Conny am 24.07.2021 um 6:58 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Fälschung ist Fälschung
von J.M.L. am 23.07.2021 um 19:27 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Dringende Empfehlung
von Armin Spychalski am 23.07.2021 um 19:01 Uhr
» Auf diesen Kommentar antworten | 2 Antworten
AW: Dringende Empfehlung
von J.M.L. am 23.07.2021 um 19:13 Uhr
AW: Dringende Empfehlung
von Karl Otto am 04.08.2021 um 15:38 Uhr
Richtig reagieren
von Carsten Moser am 23.07.2021 um 18:51 Uhr
» Auf diesen Kommentar antworten | 2 Antworten
AW: Richtig reagieren
von J.M.L. am 23.07.2021 um 19:03 Uhr
AW: Richtig reagieren
von C.Lutsch am 24.07.2021 um 10:43 Uhr
Arbeitsmoral
von Stefan Haydn am 23.07.2021 um 18:47 Uhr
» Auf diesen Kommentar antworten | 1 Antwort
AW: Arbeitsmoral
von Carsten Moser am 23.07.2021 um 18:53 Uhr
Viele Köche .....
von Thomas am 23.07.2021 um 18:42 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Ja gehts noch ???
von J.M.L. am 23.07.2021 um 18:20 Uhr
» Auf diesen Kommentar antworten | 2 Antworten
AW: Ja gehts noch
von Philipp Hoffmann am 23.07.2021 um 18:55 Uhr
AW: Auf jeden Fall
von Carsten Moser am 23.07.2021 um 18:56 Uhr
Das Kommentieren ist aktuell nicht möglich.