IT-Experten erfinden Fake-Apotheker

DAV stoppt Erstellen von Impfzertifikaten über das Apothekenportal

Berlin - 22.07.2021, 13:55 Uhr

Vorerst keine digitalen Impfzertifikate aus der Apotheke mehr: Das „Handelsblatt“ berichtet, dass IT-Experten sich mithilfe gefälschter Dokumente einen Fake-Apothekeninhaber ins DAV-Apothekenportal eingeschleust haben. (Foto: IMAGO / Reichwein)

Vorerst keine digitalen Impfzertifikate aus der Apotheke mehr: Das „Handelsblatt“ berichtet, dass IT-Experten sich mithilfe gefälschter Dokumente einen Fake-Apothekeninhaber ins DAV-Apothekenportal eingeschleust haben. (Foto: IMAGO / Reichwein)


Aufgrund einer Sicherheitslücke hat der Deutsche Apothekerverband temporär das Erstellen digitaler Impfzertifikate über das Apothekenportal gestoppt. Wie der Verband informiert, haben externe IT-Experten mithilfe gefälschter Dokumente einen Fake-Apothekeninhaber in das Portal eingeschleust. Nun werden die Gastzugänge für Nicht-Verbandsmitglieder erneut überprüft.

Bereits seit Mittwochnachmittag wundern sich die Apothekenmitarbeitenden, dass es ihnen nicht mehr möglich ist, nachträglich digitale Impfzertifikate über das Apothekenportal auszustellen. Jetzt klärt der Deutsche Apothekerverband in einer Pressemitteilung über die Hintergründe auf: Offenbar ist es externe IT-Experten (nicht wie zunächst berichtet dem Handelsblatt) gelungen, sich mithilfe professionell gefälschter Dokumente – eine gefälschte Betriebserlaubnis und ein gefälschter Bescheid des Nacht- und Notdienstfonds – einen Gastzugang für einen fingierten Apothekeninhaber zu beschaffen. Nach entsprechender Information vonseiten des Handelsblatts sowie nach Absprache mit dem Bundesministerium für Gesundheit habe der DAV beschlossen, das Ausstellen der digitalen Impfnachweise zunächst vorsorglich zu stoppen.

Mehr zum Thema

„Die Apothekerverbände haben im Rahmen von www.mein-apothekenportal.de innerhalb kürzester Zeit eine technische Infrastruktur aufgebaut, über die Apotheken vor Ort digitale Impfzertifikate erstellen können“, schreibt der Verband. Die Portallösung sei zunächst nur für Apotheken vorgesehen gewesen, deren Inhaber:innen Mitglieder in den Landesapothekerverbänden sind. „Da deren aktuelle Daten im Mitgliederverzeichnis gelistet sind, war und ist eine zweifelsfreie und sichere Authentifizierung dieser Apotheken auf dem Portal jederzeit gewährleistet.“

„Handelsblatt“ macht auf gekapertes Apothekenportal aufmerksam

Aufgrund „wettbewerbsrechtlicher Anforderungen“ konnten bereits kurz nach dem Start der Aktion allerdings auch Apotheken, die keine Mitglieder in einem Landesapothekerverband sind, aber an der Ausstellung von Impfzertifikaten teilnehmen wollten, einen Gastzugang bekommen. Diese Möglichkeit nutzen nach Angaben des DAV derzeit 470 Apotheken bundesweit, das entspreche etwa 3 Prozent der registrierten Betriebe. Nicht-Mitglieder müssen demnach für eine erfolgreiche Registrierung ihre amtliche Betriebserlaubnis und einen aktuellen Bescheid des Nacht- und Notdienstfonds zum Nachweis eines laufenden Betriebs vorlegen.

„Das Handelsblatt hat nun mithilfe von professionell gefälschten Dokumenten einen Gastzugang für einen nicht existierenden Apothekeninhaber erzeugt“, berichtet der Verband. Unter der gefälschten Apotheken-Identität seien insgesamt zwei Impfzertifikate ausgestellt worden. „Nach einer entsprechenden Information durch das Handelsblatt hat der Deutsche Apothekerverband in Rücksprache mit dem Bundesgesundheitsministerium die Ausstellung von Zertifikaten am gestrigen Mittwoch gestoppt, um zusätzlich zu der ohnehin mehrfach pro Woche laufenden Überprüfung der über Gastzugänge angemeldete Betriebsstätten eine weitere Prüfung vorzunehmen.“

Keine Hinweise auf weitere Fake-Accounts

Bis zum heutigen Donnerstagmittag habe diese Überprüfung keine Hinweise auf weitere unberechtigte Zugänge ergeben, deren Erstellung „in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist. Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden.“

Aktuell werde geprüft, welche zusätzlichen Sicherheitsvorkehrungen denkbar seien. „Wann die Ausstellung von Zertifikaten wieder aufgenommen wird, steht noch nicht fest, der DAV befindet sich im engen Austausch mit dem Bundesgesundheitsministerium.“

Ergänzung/Korrektur: Im Gespräch mit der Handelsblatt-Redaktion haben wir erfahren, dass es nicht, wie es der DAV kommuniziert, das Handelsblatt selbst war, das sich in das DAV-Portal eingeschleust hat, sondern externe IT-Experten. Das Handelsblatt hat lediglich den DAV informiert.


Christina Müller, Apothekerin und Redakteurin, Deutsche Apotheker Zeitung (cm)
redaktion@daz.online


Diesen Artikel teilen:


24 Kommentare

Freischaltung

von J.M.L. am 27.07.2021 um 11:19 Uhr

Dass sich jemand mit gefälschten Dokumenten Zugang verschafft ist keine Lücke und auch nicht peinlich... Kriminelle wird es immer geben.
Peinlich ist hingegen, dass das System nach so langer Zeit noch immer nicht online ist !!!! Das ist wirklich peinlich, vor allem wenn nur der Gastzugang mit wenigen darüber registrierten Apotheken überhaupt betroffen war.

» Auf diesen Kommentar antworten | 0 Antworten

Warum Totalshutdown?

von Michael am 26.07.2021 um 12:07 Uhr

Wenn die Sicherheitslücke im Gastzugangsbereich liegt,

warum werden statt eben nur diese Gastzugänge zu sperren alle Zugänge gesperrt und die Mitglieder der Apothekerverbände in Sippenhaft genommen?

» Auf diesen Kommentar antworten | 0 Antworten

Tatsächliche Risiken

von Carola Schmidt am 23.07.2021 um 14:10 Uhr

Die Sicherheitslücke muss geschlossen werden, auch wenn sie offensichtlich nicht zu unrechtmäßigen Einnahmen oder falschen Zertifikaten geführt hat. Das sollte möglich sein. Das tatsächlich viel größere Problem sind aber ja zum ersten falsche Impfnachweise. Das lässt sich nur sehr schwer regulär kontrollieren und die Tatsache, dass sowohl diese Nachweise als auch Nachweise von Tests zum Teil zwar verlangt, aber dann nicht kontrolliert werden. Beispiel: Flughafen. Oder ….
Das wäre doch für eine Zeitung ein gelungenes Thema mit Relevanz für alle. Da ginge es um Gesundheit, gesundheitliche Folgen und damit auch wirtschaftliche Folgen. Nicht nur um eine irreguläre Einnahme, die mit erheblichen Kosten und großer krimineller Energie erzielt werden. Aber das interessiert offensichtlich ja weniger…

» Auf diesen Kommentar antworten | 1 Antwort

AW: Tatsächliche Risiken

von J.M.L. am 23.07.2021 um 15:19 Uhr

Nochmal: Wenn jemand illegal und ich hochkrimineller Absicht eine Apothekenbetriebserlaubnis, eine Approbationsurkunde und weitere Dokumente fälscht, so ist das KEINE Sicherheitslücke, das ist einfach nur kriminell, nicht mehr und nicht weniger. Genauso gab und gibt es immer wieder Hochstapler, die mit einer gefälschten Approbationsurkunde den Arztberuf ausüben. Gegen diese Art der Kriminalität ist man nie zu 100% geschützt.
FAZIT: Keine Hackerangriff, kein Fehler im Programmiercode, eine entsprechende Strafanzeige bei der Staatsanwaltschaft und das Portal einfach wieder freischalten. Ich verstehe nach wie vor nicht die Problematik.

Impfzertifikate

von Sven Larisch am 23.07.2021 um 14:03 Uhr

Also mir tun meine Kunden/Patienten leid, die sich auf uns als niedergelassene Apotheke verlassen die Impfzertifikate schnell zu bekommen.
Natürlich muss eine Sicherheitslücke aufgedeckt und gestopft werden.
Ich selber habe das Rundschreiben gelesen (Am Donnerstag Nachmittag) aber weitere Details dann in den Nachrichten am Abend erfahren. Sorry- warum nicht gleich alles offen legen in der entsprechenden Email?
Wie lange das Portal geschlossen bleibt ist auch unbekannt. Wie sieht es denn bei den Ärzten aus ? Gibt es da keine Sicherheitslücke ?

» Auf diesen Kommentar antworten | 0 Antworten

Handelsblatt usw

von Christoph Stackmann am 23.07.2021 um 13:04 Uhr

Meines Erachtens trifft das Handelsblatt keine Verantwortung. Es sei denn, dass sie „das alles“ initiiert haben. Verantwortung müssen eher diejenigen Übernehmen, die sich unrechtmäßig Zugang verschafft haben. Allerdings haben sie die Schwachstelle nicht missbraucht sondern auf sie hingewiesen.
Es ist also gut und richtig, sie schnell zu schließen.
Zu hoffen ist, dass nun nicht alle ausgestellten Zertifikate ungültig werden. Schuld ist m. E. der Auftraggeber.

» Auf diesen Kommentar antworten | 0 Antworten

Toll

von Volker Köhler am 23.07.2021 um 12:49 Uhr

Was soll dieser Blödsinn. Jeder weiß doch , das jedwede IT geknackt werden kann. Wer so viel Energie aufbringt , fälscht doch einfach sein Impfzertifikat. Schön für unsere Kunden , die in den Urlaub fahren wollen. Veröffentlicht doch mal Name und Adresse von dem Hacke , ich teile das dann gerne weiter ....

» Auf diesen Kommentar antworten | 0 Antworten

DAV : Schweigen im Walde

von Dirk Krüger am 23.07.2021 um 11:51 Uhr

Einen ganzen Tag nach der Abschaltung des Zertifikats-Servers erfahren die Apotheker endlich vom Verband den Grund, natürlich wie immer, nachdem Apothekenkunden via Radio und TV längst Bescheid wissen. 40 Stunden nach der Abschaltung gibt es immer noch keine Information für die Mitglieder, was der Verband zur Wiederherstellung der Funktion des Portals unternimmt, wann oder ob überhaupt wieder mit der Freischaltung zu rechnen ist. Ich gehe jede Wette ein, dass dies unsere Kunden wieder viele Stunden vor den Apotheken erfahren werden. Lieber DAV, setzen ! Sechs !

» Auf diesen Kommentar antworten | 1 Antwort

AW: DAV : Schweigen im Walde

von Dirk Krüger am 23.07.2021 um 12:55 Uhr

Genau so ist es gekommen. Hier die Meldung des NDR vom 23.7.2021 10.30 Uhr. https://www.ndr.de/nachrichten/schleswig-holstein/coronavirus/Digitales-Impfzertifikat-Sicherheitsleck-soll-bis-Montag-behoben-sein,impfzertifikat100.html

Jetzt ist es 13 Uhr, keine Info vom Verband

"Externe IT-Experten"

von Dirk Krüger am 23.07.2021 um 8:23 Uhr

Wer hat denen den Auftrag erteilt und sie dafür bezahlt? Das "Handelsblatt" ? Die "IT-Experten" machen das doch nicht kostenlos.

» Auf diesen Kommentar antworten | 1 Antwort

AW: "Externe IT-Experten"

von Michael Mischer am 23.07.2021 um 11:58 Uhr

Externe Sicherheitsexperten, die vermutlich Interesse an einer sicheren IT-Infrastruktur haben und die aufgedeckte Lücke nicht genutzt, sondern veröffentlicht haben. Was sie von Kriminellen unterscheidet, die vermutlich einfach im Darknet Impfzertifikate verkauft hätten.

Spannend ist, dass sich der CCC bereits Ende 2019 auf meines Erachtens ähnlichem Weg Zugang zur Telematikinfrastruktur verschafft hatte. Es ist also vollkommen überraschend, dass jemand einfach nur so tut, als sei man eine Apotheke.

Und noch spannender und fast beängstigend ist, dass es offenbar weder DAV noch ABDA möglich ist sich einen validen Überblick darüber zu verschaffen, ob eine bestimmte Apotheke tatsächlich existiert!

Wo ist denn überhaupt die Lücke?

von J.M.L. am 23.07.2021 um 8:19 Uhr

Ich bin von einer tatsächlichen Sicherheitslücke ausgegangen, ein Fehler im Programmiercode oder ähnliches - aber mal Butter bei die Fische - eine Fälschung ist eine kriminelle Handlung und KEINE Sicherheitslücke! Hat unser Bargeld eine Sicherheitslücke wenn ein gefälschter 50er im Umlauf ist? Setzen wir dann eine Woche den Bargeldverkehr aus und zahlen nur mit Karte? Warum das ganze Aufheben - Strafanzeige gegen die Kriminellen und das System wieder freischalten, ich verstehe nicht so wirklich die Verhältnismäßigkeit... die einzige Lücke die ich sehe ist die Versorgungslücke im Ausstellen der von unzähligen Menschen in der Urlaubszeit dringlich gewünschten Zertifikate

» Auf diesen Kommentar antworten | 0 Antworten

Impfzertifikate / hausgemachtes Problem

von Kerckhoff Markus am 22.07.2021 um 22:31 Uhr

Offensichtlich war es so, dass der DAV die eingereichten, falschen Dokumente geprüft hat und danach den Zugang freigegeben hat. Selbst die falsche Telematik ID der falschen Apotheke konnte verwendet werden und wurde offensichtlich nicht verprobt. Das sind gravierende Mängel nicht in der Software sondern in den Freigabeprozessen. Das Problem ist ein DAV Problem.

Jeder weiß, das auch die erstellten Zertifikate nicht verprobt werden. Im Grunde kann jeder mit Zugang zum System beliebig viele Fake Zertifikate erstellen.

Der DAV hat sich hier wieder keinen Gefallen getan und nebenbei dem Berufsstand der Apotheker einen großen Imageschaden beschert.

» Auf diesen Kommentar antworten | 0 Antworten

Folgen - Haftung?

von Michael J. Müller am 22.07.2021 um 21:50 Uhr

Nun stellt sich grundsätzlich die Frage, wer in welchem Umfang die zur Anmeldung im Portal erforderlichen Daten gewissenhaft geprüft hat. Es kann ja nun nicht sein, dass man mit gefälschten Apothekendaten inkl. gefälschter (ausgedachter?) Telematik-ID einfach Zugang zum Portal bekommen kann. Hier soll bitte keiner der Verantwortlichen mit der Entschuldigung Zeitnot o.ä. kommen. Das BMG mag Druck gemacht haben, das Portal schnellstmöglich in Betrieb nehmen zu müssen. Hier gehören aber auch immer zwei Seiten dazu.
Wer haftet nun für das Sicherheitsleck und die mit der Panne verbundenen Imageschäden für die Apotheken vor Ort? Wer kommuniziert dies hinreichend und für die Laienpresse ausreichend verständlich? Und was passiert mit den Urhebern dieses Hacks? Urkundenfälschung ist ja nun auch kein Kavaliersdelikt und eine solche Lücke aufzudecken, nur „weil man es kann“ geht gar nicht. Der Zweck heiligt nicht immer die Mittel.

» Auf diesen Kommentar antworten | 0 Antworten

Handelsblatt

von ratatosk am 22.07.2021 um 18:46 Uhr

Agent provocateur nannte man das früher, Das Klientel dieser Postille spricht für sich, wenn es den normalen Apotheken schaden kann, machen die das halt, denn ausnahmsweise können die großen Versender nicht punkten. Der Polizei wären die strafbaren Handlungen untersagt, damit wurde auch nichts aufgedeckt. Und daß der ganze Digitalirrsinn nicht sicher ist, weiß sowieso jeder der sich damit auskennt. Nur früher waren Betrügereien lokal, jetzt klappt so was eben Bundes oder Europaweit.
Nett wäre es auch wenn mal jemand die Handelsblattserver hacken würde , was bei genügend Expertise klappen wird - und as dann die Postille dazu sagen würde. !!??

» Auf diesen Kommentar antworten | 2 Antworten

AW: Handelsblatt

von Redaktion DAZ.online am 22.07.2021 um 19:13 Uhr

Im Gespräch mit der Handelsblatt-Redaktion haben wir erfahren, dass es nicht, wie es der DAV kommuniziert, das Handelsblatt selbst war, das sich in das DAV-Portal eingeschleust hat, sondern externe IT-Experten. Das Handelsblatt hat lediglich den DAV informiert.

Entschädigung??

von Armin Spychalski am 22.07.2021 um 18:36 Uhr

Werden wir nun vom Handelsblatt (Journalismus?????????) für den Ausfall entschädigt? Die verdienen schließlich damit!! Geld. Wenn da nix zu holen ist... Fordert unser Berufsstand einen finanziellen Ausgleich ein?

» Auf diesen Kommentar antworten | 2 Antworten

AW: Entschädigung

von Redaktion DAZ.online am 22.07.2021 um 19:18 Uhr

Das ist vom DAV nicht richtig kommuniziert. Im Gespräch mit der Handelsblatt-Redaktion haben wir erfahren, dass es nicht das die Zeitung selbst war, das sich in das DAV-Portal eingeschleust hat, sondern externe IT-Experten. Das Handelsblatt hat lediglich den DAV informiert.

Das Portal gehört in die Hände der ABDA

von Anne Beer am 22.07.2021 um 16:52 Uhr

Das Portal ist beim DAV falsch angesiedelt und gehört dringend der ABDA zugeordnet bzw. sollte von der ABDA dem DAV abgekauft werden. Wer noch nicht mal, wie der DAV, einen Haushalt hat, der sollte nicht solche Portale betreiben.

» Auf diesen Kommentar antworten | 0 Antworten

Hohlköpfe

von Conny am 22.07.2021 um 15:41 Uhr

Ich freue mich auf das E-Rezept ! Es wird ein Chaos geben welches wohl Laschet wieder zum Lachen bringen wird .

» Auf diesen Kommentar antworten | 0 Antworten

Unseriös

von Mike am 22.07.2021 um 14:46 Uhr

Hoffe es gibt für die Verantwortlichen vom Handelsblatt hohe Strafen haben vielen den Urlaub versaut. Mit so hoher Krimineller Energie bekommt man auch so ein Impfzertifikat. Aufgedeckt haben sie gar nichts da es bei der Überprüfung der Gastzugänge ohnehin aufgefallen wäre. Nur viel Ärger und Stress für viele Personen. Haben den Aluhutträgern damit einen Gefallen getan.

» Auf diesen Kommentar antworten | 2 Antworten

AW: Unseriös

von Redaktion DAZ.online am 22.07.2021 um 19:17 Uhr

Der DAV kommuniziert das nicht richtig. Im Gespräch mit der Handelsblatt-Redaktion haben wir erfahren, dass es nicht das Handelsblatt selbst war, das sich eingeschleust hat, sondern externe IT-Experten, Das Handelsblatt hat nur den DAV informiert.

warum

von Karl Friedrich Müller am 22.07.2021 um 14:21 Uhr

wird das Handelsblatt und die Verantwortlichen nicht angezeigt?
Urkundenfälschung?
Was soll das überhaupt? Uns in der Arbeit zu behindern? Will das Handelsblatt Apotheken vorführen? Die machen sowieso dauernd Stimmung gegen uns?
Ein unakzeptables Verhalten, das bestraft gehört.

» Auf diesen Kommentar antworten | 2 Antworten

AW: warum

von Redaktion DAZ.online am 22.07.2021 um 19:19 Uhr

Das war nicht das Handelsblatt selber, das wird vom DAV falsch kommuniziert. Das waren externe IT-Experten. Das HB hat den DAV nur informiert.

Das Kommentieren ist aktuell nicht möglich.