„Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV“

DAZ: Herr Dr. Zilch, Herr Tschirsich, der „Handelsblatt“-Beitrag, in dem Sie eklatante Sicherheitsmängel beim Authentifizierungsprozess der Apotheken im DAV-Portal aufzeigen, hat unter den Apotheker:innen hohe Wellen geschlagen. Was genau ist passiert? Wie konnten Sie an einen Zugang zum Portal gelangen?

Tschirsich: Zunächst haben wir das DAV-Portal geöffnet und geschaut, wie wir einen Zugang bekommen können. Verbandsmitglied zu werden, war uns zu aufwendig, deshalb haben wir uns entschieden, einen Gastzugang zu beantragen. Wir haben das entsprechende Formular ausgefüllt mit Vorname, Nachname, Adresse, E-Mail-Adresse und so weiter. 

Zudem brauchten wir eine Kopie einer Betriebserlaubnis sowie einen Nachweis, dass die Apotheke auch aktiv ist, also eine Bescheinigung des Nacht- und Notdienstfonds. Beides haben wir uns einfach selbst gebastelt und unseren Antrag über eine anonyme E-Mail-Adresse an den DAV geschickt mit der Bitte, uns einen Zugangscode zu schicken. Das war am Sonntagabend und schon am nächsten Morgen kam eine Mail vom DAV, dass die Dokumentenprüfung erfolgreich gewesen sei. Am Dienstag hatten wir den Code dann im Briefkasten und konnten uns registrieren.

Aber für die Registrierung brauchten Sie doch eine Telematik-ID …

Dr. Zilch: Wir haben einfach eine Zahlenfolge eingegeben, die von der Länge her passte. Sie sah also aus wie eine Telematik-ID, war aber gar keine echte.

Der DAV schreibt in seinem Statement von „professionell gefälschten Dokumenten“. War es für den Verband möglicherweise gar nicht erkennbar, dass Sie keine echte Apotheke betreiben?

Dr. Zilch: Nein. Wir haben bewusst so viele Sollbruchstellen in den Prozess eingebaut, dass es hätte auffallen müssen. Wir hatten eine falsche Telematik-ID, die Apotheke war komplett ausgedacht, unter der von uns angegebenen Adresse ist ein Mehrfamilienhaus zu finden … Das hätte innerhalb von Minuten auffallen müssen, selbst wenn man kein Apothekenverzeichnis verwendet, sondern sich auf die Recherche mithilfe von Internet-Suchmaschinen beschränkt.

Tschirsich: Wir haben für das Basteln unserer fiktiven Betriebserlaubnis zum Beispiel lediglich eine Betriebserlaubnis einer echten Apotheke ergoogelt und diese dann mit ganz simplen Programmen bearbeitet. Das hätte jeder Siebtklässler hinbekommen. Das Aufwendigste war eine Google-Suche mit den Stichwörtern Betriebserlaubnis und Apotheke.

Wie sind Sie überhaupt darauf gekommen, sich das Apothekenportal genauer anzuschauen?

Tschirsich: Es kursieren bereits seit längerer Zeit gefälschte Impfzertifikate, die etwa über Messenger-Gruppen verkauft werden – für gerade einmal 150 bis 300 Euro. Wenn man sich diese Zertifikate anschaut, fällt auf, dass sie alle über das DAV-Portal erstellt wurden. Das hat zur Folge, dass zum Beispiel in der Schweiz deutsche Impfzertifikate nicht mehr denselben Stellenwert haben wie Schweizer Zertifikate – mit entsprechenden Nachteilen, zum Beispiel für Pendler.

War das dem DAV bekannt?

Tschirsich: Ja. Wir haben erst in der vergangenen Woche eine Stellungnahme im Unterausschuss Pandemie im Bundestag abgegeben, aus der hervorgeht, dass unter anderem wegen fehlender sicherer digitaler Identitäten der Apotheken gefälschte Zertifikate im Umlauf sind. Der DAV hat aber stets abgewiegelt, dass ihm keine solchen Vorgänge bekannt sind und er deswegen auch keinen Handlungsbedarf sehe. Da haben wir beschlossen, dass wir nun mal ganz plakativ zeigen müssen, wie einfach es ist, an einen Zugang zu gelangen.

Dr. Zilch: Der ganze Vorgang zeigt doch, wie beim DAV gearbeitet wird. Nicht nur, dass der Authentifizierungsprozess ungenügend ist, auch die Umsetzung dieses Prozesses war mangelhaft. Es ist auch niemandem aufgefallen, dass wir uns einen Zugang beschafft hatten, bis letztlich das „Handelsblatt“ den DAV darauf aufmerksam gemacht hat.

Würden Sie sagen, der DAV war in diesem Punkt etwas unbedarft?

Dr. Zilch: Es ist nicht nur Unbedarftheit, da schwingt auch eine ganze Menge Ignoranz mit. Die Hinweise waren seit langem bekannt. Bereits im März haben wir das entsprechende Portal-Pendant in der Schweiz untersucht und gezeigt, dass es auch dort neben technischer zusätzlich organisatorische Probleme gab. Man hat das Portal damals vom Netz genommen und bis heute nicht wieder freigeschaltet.

Hat denn die deutsche Politik – allen voran das Bundesministerium für Gesundheit, das für den Zertifikate-Server verantwortlich ist – daraus nichts gelernt?

Tschirsich: Eigentlich schon. Es gab eine Ausschreibung hierzulande, in denen notwendige Sicherheitsstandards eingefordert wurden. Zum Beispiel sollte es nur über die Telematikinfrastruktur möglich sein, digitale Impfnachweise auszustellen. Dann gab es allerdings eine kurzfristige Änderung des Infektionsschutzgesetzes, die es auch Apothekern ermöglichte, nachträglich solche Zertifikate zu erzeugen. Vonseiten des BMG gab es daraufhin einen gewissen zeitlichen Druck, denn man wollte zügig damit starten, um am EU-Pilotprojekt zu den Zertifikaten teilzunehmen und eines der ersten Länder zu sein, das digitale Impfnachweise erstellen kann.

Und vor diesem Hintergrund hat das Ministerium die strengen Regeln gelockert?

Tschirsich: Der DAV hat dem BMG sein Portal angeboten und das Ministerium hat zugegriffen. Obwohl das Portal die Sicherheitsanforderungen der ursprünglichen Ausschreibung deutlich unterschreitet, hat man IBM als Betreiber des Zertifikateservers nahegelegt, es dennoch anzubinden. Das heißt: Jeder hat von Anfang an gewusst, dass das DAV-Portal unsicher ist. Denn es ist zum Beispiel einfach über das Internet erreichbar und nicht in die TI eingebunden. Zudem reicht eine Authentifizierung mittels Benutzernamen und Passwort.

Dr. Zilch: Diese einfache Authentifizierung ist ein echtes Problem. Beim Online-Banking etwa gibt es verpflichtend einen zweistufigen Prozess. Da haben Sie zum Beispiel noch eine App auf dem Handy, in der Sie Ihre Anmeldung bestätigen müssen, oder sollen eine TAN eingeben. Denn Passwörter können weitergegeben werden. Bei den Ärzten sieht es anders aus: Die Praxen sind über ihre Praxisverwaltungssysteme und damit über die TI an den Server angeschlossen. Da kann sich niemand ohne Weiteres von außen einwählen.

Wäre das den Apothekern nicht auch zum Beispiel über die Warenwirtschaftssysteme möglich gewesen?

Tschirsich: Natürlich. Der DAV hat aber an seinem Portal als einzige und dauerhafte Lösung festgehalten und alle Warnungen in den Wind geschlagen. Eine Umstellung wäre übrigens auch jetzt noch möglich gewesen. Wir haben nie gefordert, das Zertifikate-Modul abzuschalten, wie es jetzt geschehen ist. Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV. Wir haben Hilfe angeboten und hätten es auch befürwortet, das Ausstellen wie bisher über das Portal noch eine oder zwei Wochen weiterlaufen zu lassen. Denn es hat sich ja nichts geändert im Vergleich zu dem Zustand vor unserer Mitteilung an den DAV. Es tut uns sehr leid, dass die Apotheken unter dieser Entscheidung leiden müssen. Aber das war nicht unser Anliegen.

Dr. Zilch: Das Umstellen hätte man auch schon von Anfang an planen können. Es gab mehrere Zeitpunkte, zu denen der DAV hätte aktiv werden können. Man hat diese Gelegenheiten aber alle verstreichen lassen.

Das klingt nach einer kritischen Sicht auf die Reaktion des DAV.

Tschirsich: Ja, den Umgang mit der Situation kritisieren wir deutlich. Das Portal abzuschalten und schon am Donnerstag ein Statement zu veröffentlichen, in dem von hoher krimineller Energie die Rede ist, wäre aus unserer Sicht nicht nötig gewesen. Zumal die Berichterstattung erst für Freitag geplant war. Das ist keine professionelle Reaktion. Wir hätten gern geholfen, einen fließenden Übergang in sichere Strukturen zu ermöglichen, aber der DAV hat offenbar kein Interesse an einem Kontakt.

Dr. Zilch: Auch die Apotheker ohne Information einfach vom Zertifikateserver abzuschneiden, ist bemerkenswert. Das hat beim Kunden den Eindruck erzeugt, es handele sich um ein Problem der individuellen Apotheke. Das hatte zur Folge, dass die Menschen völlig unnötig in mehrere Apotheken gegangen sind in der Hoffnung, woanders ihr Zertifikat zu bekommen. Viele Apotheker haben in gutem Glauben, dass das Problem bald behoben sein würde, ihre Kunden gebeten, am nächsten Tag wiederzukommen und sind dann zum zweiten Mal in Erklärungsnot geraten.

Was muss nun mit Blick auf die Zertifikate geschehen, die über das DAV-Portal ausgestellt wurden? Einzelne Zertifikate zu sperren, die als Fälschung entlarvt wurden, geht ja nicht.

Dr. Zilch: Nein, das ist nicht möglich. Die Apotheken haben vereinfacht gesagt über das Portal alle den gleichen Schlüssel zum Server benutzt. Daraus folgt ein Alles-oder-nichts-Prinzip: Entweder sperrt man alle Zertifikate, die darüber ausgestellt wurden, oder keines. Es wäre zwar der ehrlichste Weg, das zu tun, aber es erscheint mir auch nicht zielführend, jetzt alle betroffenen digitalen Impfnachweise noch einmal erstellen zu lassen und viel Geld dafür auszugeben. Auch wenn der Ruf der deutschen Zertifikate bereits gelitten hat: Die Situation wird sich vermutlich mit der Zeit selbst bereinigen. Es ist sehr wahrscheinlich, dass es Auffrischimpfungen geben wird, die wieder dokumentiert werden müssen. Und die bisher ausgestellten Zertifikate verlieren ja nach Ablauf einer bestimmten Frist, die noch definiert werden muss, ihre Gültigkeit. Wichtig ist, dass man jetzt die Prozesse sicher macht, damit der Schaden nicht noch größer wird.

Tschirsich: Wir stehen doch vor der Situation, dass wir bereits eine vorhandene digitale Basis haben, nämlich die Telematikinfrastruktur. Das Schaffen dieser Struktur hat viel Geld gekostet und die Apotheken haben aufwendige Authentifizierungsprozesse durchlaufen, um sich daran anzuschließen. Es spricht alles dafür, dieses System zu nutzen. Das einzige Problem ist: Das funktioniert auch ohne den DAV. Vielleicht hat man sich bei dem Gedanken daran übergangen gefühlt.

Hat das Zertifikatemodul im Apothekenportal noch eine Chance?

Tschirsich: Diese Entscheidung muss das BMG treffen. Das Portal wurde auf Bestreben des Ministeriums überhaupt erst angebunden. Genauso kann es jetzt aber auch entscheiden, dass es zu lange dauern würde, die Prozesse anzupassen. Das BMG muss jetzt entscheiden, ob es den DAV weiterwurschteln lassen will, denn im Grunde ist das Kind schon in den Brunnen gefallen. Das Vertrauen in das deutsche Impfzertifikat ist verwässert. Die Alternative wäre wie gesagt, die Abläufe zugunsten der TI umzustellen und das Ausstellen der Zertifikate über das Portal nur noch für eine Übergangszeit zuzulassen.

Dr. Zilch: Interessant wird auch sein, wie sich die zuständige Landesdatenschutzbeauftragte in Berlin dazu positionieren wird. Die Datenschutzbehörden haben ja keine Genehmigungspflicht, aber eine Aufsichtspflicht. In der Schweiz etwa hat die Datenschutzbehörde damals den Betrieb des Portals untersagt.

Haben Sie das Portal auch aus technischer Sicht geprüft?

Dr. Zilch: Nein, es war zu einfach, sich einen Zugang zu beschaffen. Wozu sollen wir das machen? Es handelt sich hier um eine Informationssicherheitslücke und Informationssicherheit beinhaltet Technik und Prozesse. Die Fehler müssen nicht immer in einer technischen Komponente zu finden sein.