Mein liebes Tagebuch

Uiuiui, die digitale und kommunikative Schlappe, die sich das DAV-Apothekenportal mit der Erstellung von Impfzertifikaten geholt hat, sitzt. Hinter der relativ harmlos klingenden Tagesschau-Meldung „Vorerst keine Impfzertifikate in Apotheken“ steckt ein handfester Skandal von mangelnder Sicherheit und vor allem Schlamperei und bewusster Vernachlässigung von Sicherheitsstandards. Denn das Portal oder der Zertifikatsserver wurde nicht wirklich „gehackt“ – den Zugang zu den Impfzertifikaten konnten sich zwei Experten relativ einfach mithilfe von gefälschten Dokumenten verschaffen. So spricht auch die ABDA davon, dass es sich eher weniger um einen digitalen Angriff handelte als vielmehr um eine Lücke oder Schwachstelle bei der Überprüfung von Nichtmitgliedern eines Apothekerverbands – was das Desaster allerdings nicht mindert und auf den Deutschen Apothekerverband (DAV) selbst zurückfällt. Wenn man das Interview auf DAZ.online liest, in dem die beiden Internet-Experten Dr. André Zilch und Martin Tschirsich (sie haben die Lücken aufgedeckt) zeigen, wie einfach es beim DAV-Portal war, sich eine erfundene Apothekenidentität zu beschaffen und sich als Nichtmitglied eines Verbands registrieren zu lassen, dann kann einem schummerig werden.

Aber diese Schlampereien bei der Überprüfung der Apothekenidentitäten sind das eine. Die andere Seite: Es fehlen Sicherheitsstandards! Zum Beispiel ist das Portal nicht in die sichere Telematikinfrastruktur eingebunden, obwohl dies von Anfang an gefordert wurde. Wie man aus Insiderkreisen hört, sei das Portal in großer Geschwindigkeit aufgebaut worden und man habe es ohne diese Sicherheitsstandards der TI an den Start gebracht, Hauptsache schnell sollte es gehen. Die Sicherheitslücken seien demnach bekannt gewesen, aber der DAV habe alle Warnungen von Experten in den Wind geschlagen.

Mein liebes Tagebuch, was darüber hinaus bei der Erklärung für dieses Desaster und bei der Kommunikation unangenehm aufstößt, ist der Versuch der ABDA, die Schwierigkeiten u. a. damit zu begründen, dass man doch auch Nichtmitglieder der Apothekerverbände den Zugang zum Portal und zur Zertifikatserstellung gewähren musste. Überhaupt, dieser Separationsgedanke, bei einer solchen Dienstleistung die Nichtmitglieder (Hubmann-Zitat: „die Trittbrettfahrer“) von vornherein ausschließen zu wollen, hat schon etwas Absurdes an sich. Eine Leistung, die den Apotheken vom Ministerium nahegelegt wird, muss doch allen Apotheken offenstehen (gegebenenfalls eben gegen Gebühr). Mein liebes Tagebuch, da fragen wir uns ernsthaft: Wie tickt so eine Berufsorganisation, die doch für alle Apotheken zuständig ist, wenn sie bei solchen offiziellen Aufgaben manche Apotheken ausschließen will, nur weil sie keine Mitglieder eines Verbands sind, dem man freiwillig beitreten kann. Da poppt doch tatsächlich wieder unser altes Problem auf, dass nämlich die ABDA ein Verband ist, dem Kammern angehören mit Zwangsmitgliedschaft und Verbänden mit freiwilliger Mitgliedschaft.

Es gibt bei diesem Impfzertifikats-Desaster aber noch eine andere Seite der Medaille: die mangelhafte Kommunikation der ABDA mit den Mitgliedsorganisationen und letztlich auch mit allen Apotheken. Die Sicherheitsrisiken und Schwachstellen beim Apothekenportal sollen schon seit einiger Zeit bekannt gewesen sein, man habe aber nicht reagiert. Erst nachdem der Druck aufgrund des Handelsblatt-Berichts über einen Gastzugang mit gefälschten Dokumenten wuchs, schaltete der Deutsche Apothekerverband das Portal kurzerhand ab. Die Apotheken, die Zugang zum Portal haben wollten, mussten auf der Portalseite lesen, dass „aktuell die Ausstellung von digitalen Impfzertifikaten nicht möglich ist. Sobald die Ausstellung von digitalen Impfzertifikaten für Ihre Apotheke wieder möglich ist, informieren wir Sie umgehend.“ Da stand also wirklich: „für Ihre Apotheke“ – was der Apotheke nahelegte, nur die eigene Apotheke sei betroffen und ein Kunde könnte sein Zertifikat in einer anderen Apotheke bekommen. Wirklich keine gute  Kommunikation. Fazit zur Kommunikationsleistung: Rechtzeitige Information der Apotheken? Fehlanzeige! Rasche und offene Kommunikation über Ursachen und Hintergründe? Fehlanzeige! Kurzgesagt: Infopolitik à la ABDA eben. Mein liebes Tagebuch, gibt es Hoffnung, dass die ABDA diese Politik nochmal irgendwann ändert?

Wie geht’s nun weiter? In der jüngsten ABDA-Pressemitteilung heißt es: „Alle Apotheken, die dies wünschen, erhalten in der nächsten Woche schrittweise wieder Zugriff auf das DAV-Portal, so dass sie auch wieder Impfzertifikate ausstellen können.“ Wie nett ist das denn? Müssen die Apotheken also dann erst wieder ihren Wunsch vortragen, dabei sein zu dürfen? Und was noch in der Meldung steht: DAV, IBM, gematik und BMG wollten nun gemeinsam daran arbeiten, „die Sicherheit bei der Ausstellung von Impfzertifikaten durch eine Einbindung dieses Prozesses in die sichere Telematikinfrastruktur insgesamt noch weiter zu erhöhen." Mein liebes Tagebuch, die Formulierungen „nun gemeinsam daran arbeiten“ und „weiter zu erhöhen“ sind doch das  Eingeständnis: Eine richtige Sicherheit war von Anfang an gar nicht gegeben. Der Experte Tschirsich: „Jeder hat von Anfang an gewusst, dass das DAV-Portal unsicher ist.“ Und dennoch, mein liebes Tagebuch, habe man IBM als Betreiber des Zertifikatservers nahegelegt, das Portal anzubinden, so der Experte weiter. Und der DAV hat dem BMG sein Portal angeboten und das Ministerium hat zugegriffen. Mein liebes Tagebuch, das muss man sich alles mal auf der Zunge zergehen lassen, wie da gearbeitet wurde. Unfassbar.