Zwangspause für digitale Impfzertifikate

Mitten in den Sommerferien ist es für Geimpfte derzeit schwierig, ein nachträgliches digitales Impfzertifikat zu bekommen. Über die Arztpraxen ist es zwar prinzipiell möglich – doch nicht jede Praxis scheint gewillt, diese Aufgabe für Patienten zu übernehmen, die nicht ihre eigenen sind. Die Apotheken, die sich seit Mitte Juni flächendeckend um die Zertifikate gekümmert haben, können derzeit nicht helfen – so war jedenfalls der Stand am Dienstagmittag.

Der Hintergrund: IT-Sicherheitsexperten hatten einer Fake-Apotheke mit gefälschten Dokumenten problemlos einen Gastzugang zum DAV-Portal verschaffen können. Zwei Fake-Impfnachweise folgten. Vom „Handelsblatt“ damit konfrontiert, stoppte der DAV in Rücksprache mit dem BMG die Zertifikatsausstellung.

Am vergangenen Freitag folgte ein gemeinsames Statement von DAV und BMG. Von der Sicherheitslücke seien nur die wenigen Hundert Apotheken potenziell betroffen, die nicht Mitglied des DAV sind, hieß es. Alle erteilten Zugänge würden bereits überprüft und verifiziert. Nach aktuellem Kenntnisstand sei es zu keinem Betrug bei der Erstellung von Impfzertifikaten gekommen. „Ein solcher wäre im Übrigen eine Straftat“, betonen DAV und BMG. Die beiden Zertifikate, die die IT-Spezialisten mithilfe des gefälschten Accounts erzeugt haben, wurden in den drei Apps – CWA, CovPass und CovPass-Check-App – gesperrt.

Einbindung in die sichere TI-Struktur in Arbeit

Weiter hieß es, dass „alle Apotheken, die dies wünschen“, diese Woche „schrittweise wieder Zugriff auf das DAV-Portal“ erhielten, so dass sie auch wieder Impfzertifikate ausstellen könnten. DAV, IBM, Gematik und BMG arbeiteten nun gemeinsam daran, „die Sicherheit bei der Ausstellung von Impfzertifikaten durch eine Einbindung dieses Prozesses in die sichere Telematikinfrastruktur insgesamt noch weiter zu erhöhen“. Das dürfte im Klartext heißen: Dem DAV wird seine Kompetenz entzogen werden, die Zertifikate über das DAV-Portal zu erstellen. Denn der Weg über die TI war auch der ursprüngliche Plan für die digitalen Zertifikate. Wie Dr. André Zilch und Martin Tschirsich, die IT-Experten, die sich das DAV-Portal zur Brust genommen haben, im Gespräch mit der DAZ erklärten, sorgte die kurzfristige Gesetzesänderung, die es Apothekern ermöglichte, nachträglich Zertifikate zu erzeugen, für einen gewissen Zeitdruck. Das BMG habe zügig starten wollen, um am EU-Pilotprojekt teilzunehmen und eines der ersten Länder zu sein, das digitale Impfnachweise erstellen kann. Daraufhin habe der DAV dem BMG sein Portal angeboten, und dieses habe „zugegriffen“. Obwohl man gewusst habe, dass das Portal die Sicherheitsanforderungen der ursprünglichen Ausschreibung deutlich unterschreitet, habe man IBM als Betreiber des Zertifikateservers nahegelegt, es dennoch anzubinden.

Die Frage der DAZ, was BMG und DAV zu den harschen Vorwürfen sagen, blieb bis Dienstagmittag offen. Unklar blieb auch, was genau ein schrittweiser Anschluss auf Apothekenwunsch bedeutet. Eine Antwort kam dagegen von der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Maja Smoltczyk. Sie wird den DAV als Betreiber des Portals um Stellungnahme bitten. „Dabei gilt es zunächst zu klären, inwiefern durch die Sicherheitslücke Unberechtigte Zugriff auf personenbezogene Daten erhalten haben“, so ein Sprecher. „Zum jetzigen Zeitpunkt ist noch unklar, ob überhaupt durch den Zugang zum Portal auf Informationen zugegriffen werden kann, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen“. |