- DAZ.online
- News
- Apotheke
- Berliner ...
Deutscher Apothekerverband muss sich erklären
Berliner Datenschutzbeauftragte prüft Sicherheitslücke im DAV-Portal
Nachdem IT-Sicherheitexperten sich unberechtigt einen Zugang zum DAV-Portal verschafft hatten, hat der Verband das Modul zum Erstellen von Impfzertifikaten am vergangenen Mittwoch stillgelegt. Wann Apotheken wieder digitale Impfnachweise erstellen können, ist unklar. Jetzt schaltet sich auch die Berliner Datenschützerin, Maja Smoltczyk, in den Vorfall ein: Sie prüft, inwiefern durch die Sicherheitslücke Unberechtigte Zugriff auf personenbezogene Daten erhalten haben. Der DAV wird dazu eine Stellungnahme abgeben müssen.
Seit dem vergangenen Mittwochnachmittag liegt das Zertifikate-Modul im DAV-Portal auf Eis. Darüber hatten Apotheken bis dato nachträglich digitale Impfzertifikate für Menschen ausstellen können, die bereits gegen COVID-19 geimpft sind. Doch seit nunmehr fast einer Woche ruht das Projekt, nachdem IT-Sicherheitsexperten Sicherheitslücken beim Authentifizierungsprozess der Apotheken nachgewiesen hatten.
Mehr zum Thema
IT-Experten erfinden Fake-Apotheker
DAV stoppt Erstellen von Impfzertifikaten über das Apothekenportal
IT-Sicherheitexperten im Interview
„Das Zertifikate-Modul zu sperren, war allein die Entscheidung des DAV“
Martin Tschirsich und Dr. André Zilch hatten sich mithilfe einer erfundenen Apotheke Zugang zum Portal verschafft. Wie einfach das offenbar war, schildern sie im Interview mit der DAZ. Und mehr noch: Die Sicherheitsprobleme waren demnach bekannt – sowohl dem DAV als auch dem Bundesministerium für Gesundheit (BMG). Dennoch wurde das Portal an den IBM-Server, über den die Zertifikate erzeugt werden, angebunden. Auch die Möglichkeit, im laufenden Prozess in Sachen Sicherheit nachzubessern, habe man ungenutzt gelassen, so Tschirsich und Zilch.
DAV schweigt, BMG weicht aus
Auf Nachfrage der DAZ, wie das Ministerium und der Verband zu den Vorwürfen stehen, gab es bisher keine brauchbare Antwort. Während der DAV zur Thematik schweigt, verweist das Gesundheitsministerium lediglich auf eine gemeinsame Pressemitteilung von DAV und BMG vom vergangenen Freitag. Danach soll es in dieser Woche den Apotheken, „die dies wünschen“, „schrittweise“ wieder möglich sein soll, Zertifikate auszustellen. Was genau das bedeutet und wann es wieder losgehen wird, bleibt offen.
Für die Apotheken ist die Situation mehr als unbefriedigend. Sie warten ungeduldig darauf, endlich wieder für ihre Kundinnen und Kunden digitale Impfnachweise erstellen zu können, denn es ist Urlaubszeit und die Nachfrage entsprechend groß. Derzeit können sie den Menschen nicht einmal sagen, wann es weitergehen wird – das sorgt auch bei manch einem Geimpften für Unverständnis.
Inwiefern sind personenbezogene Daten betroffen?
Aus Berlin droht derweil weiterer Ungemach: Wie die DAZ auf Nachfrage erfuhr, prüft jetzt auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, den Vorfall. Wie ein Sprecher mitteilte, werde sie den DAV als Betreiber des Portals um Stellungnahme bitten. „Dabei gilt es zunächst zu klären, inwiefern durch die Sicherheitslücke Unberechtigte Zugriff auf personenbezogene Daten erhalten haben“, heißt es weiter. „Zum jetzigen Zeitpunkt ist noch unklar, ob überhaupt durch den Zugang zum Portal auf Informationen zugegriffen werden kann, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen“. Auf die Frage, ob von den Apotheken möglicherweise mehr Daten erhoben wurden als nötig (Stichwort: Grundsatz der Datenminimierung), heißt es: „Derzeit liegen uns keine Informationen vor, welche Daten von den Apotheken erhoben wurden oder inwiefern die Telematik-ID betroffen ist.“
Datenschützer ziehen dem Schweizer Portal den Stecker
Dass sich die Berliner Datenschutzbeauftragte einschalten könnte, hatten Tschirsich und Zilch bereits im DAZ-Interview vermutet. Ihren Angaben zufolge habe bei einem ähnlichen Vorfall in der Schweiz im März dieses Jahres der dort zuständige Datenschützer den Betrieb des Schweizer Portals untersagt. Bis heute sei dieses nicht wieder ans Netz gegangen.
Ob dem DAV-Portal oder zumindest dem Impfzertifikate-Modul ein vergleichbares Schicksal droht, bleibt abzuwarten. Fest steht wohl allerdings, dass das Erstellen der digitalen Impfnachweise künftig über die Telematikinfrastruktur laufen soll und nicht mehr über das DAV-Portal. Im Statement von DAV und BMG von vergangenem Freitag hieß es, man arbeite gemeinsam mit IBM und der Gematik daran, „die Sicherheit bei der Ausstellung von Impfzertifikaten durch eine Einbindung dieses Prozesses in die sichere Telematikinfrastruktur insgesamt noch weiter zu erhöhen“. Im Klartext dürfte das bedeuten, dass das Ministerium dem DAV die Kompetenz entzieht, die Zertifikate über das hauseigene Portal erstellen zu lassen.
4 Kommentare
Datenschutz
von ratatosk am 27.07.2021 um 18:36 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
und
von Karl Friedrich Müller am 27.07.2021 um 16:15 Uhr
» Auf diesen Kommentar antworten | 1 Antwort
AW: und
von Conny am 27.07.2021 um 17:08 Uhr
Sicherheitslücke
von Roland Mückschel am 27.07.2021 um 12:32 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Das Kommentieren ist aktuell nicht möglich.