Deutscher Apothekerverband muss sich erklären

Berliner Datenschutzbeauftragte prüft Sicherheitslücke im DAV-Portal

Berlin - 27.07.2021, 12:15 Uhr

Jetzt beschäftigt sich auch Maja Smoltczyk, Datenschutzbeauftragte des Landes Berlin, mit der Sicherheitslücke im DAV-Portal. (Fb/oto: IMAGO / tagesspiegel)

Jetzt beschäftigt sich auch Maja Smoltczyk, Datenschutzbeauftragte des Landes Berlin, mit der Sicherheitslücke im DAV-Portal. (Fb/oto: IMAGO / tagesspiegel)


Nachdem IT-Sicherheitexperten sich unberechtigt einen Zugang zum DAV-Portal verschafft hatten, hat der Verband das Modul zum Erstellen von Impfzertifikaten am vergangenen Mittwoch stillgelegt. Wann Apotheken wieder digitale Impfnachweise erstellen können, ist unklar. Jetzt schaltet sich auch die Berliner Datenschützerin, Maja Smoltczyk, in den Vorfall ein: Sie prüft, inwiefern durch die Sicherheitslücke Unberechtigte Zugriff auf personenbezogene Daten erhalten haben. Der DAV wird dazu eine Stellungnahme abgeben müssen.

Seit dem vergangenen Mittwochnachmittag liegt das Zertifikate-Modul im DAV-Portal auf Eis. Darüber hatten Apotheken bis dato nachträglich digitale Impfzertifikate für Menschen ausstellen können, die bereits gegen COVID-19 geimpft sind. Doch seit nunmehr fast einer Woche ruht das Projekt, nachdem IT-Sicherheitsexperten Sicherheitslücken beim Authentifizierungsprozess der Apotheken nachgewiesen hatten.

Martin Tschirsich und Dr. André Zilch hatten sich mithilfe einer erfundenen Apotheke Zugang zum Portal verschafft. Wie einfach das offenbar war, schildern sie im Interview mit der DAZ. Und mehr noch: Die Sicherheitsprobleme waren demnach bekannt – sowohl dem DAV als auch dem Bundesministerium für Gesundheit (BMG). Dennoch wurde das Portal an den IBM-Server, über den die Zertifikate erzeugt werden, angebunden. Auch die Möglichkeit, im laufenden Prozess in Sachen Sicherheit nachzubessern, habe man ungenutzt gelassen, so Tschirsich und Zilch.

DAV schweigt, BMG weicht aus

Auf Nachfrage der DAZ, wie das Ministerium und der Verband zu den Vorwürfen stehen, gab es bisher keine brauchbare Antwort. Während der DAV zur Thematik schweigt, verweist das Gesundheitsministerium lediglich auf eine gemeinsame Pressemitteilung von DAV und BMG vom vergangenen Freitag. Danach soll es in dieser Woche den Apotheken, „die dies wünschen“, „schrittweise“ wieder möglich sein soll, Zertifikate auszustellen. Was genau das bedeutet und wann es wieder losgehen wird, bleibt offen.

Für die Apotheken ist die Situation mehr als unbefriedigend. Sie warten ungeduldig darauf, endlich wieder für ihre Kundinnen und Kunden digitale Impfnachweise erstellen zu können, denn es ist Urlaubszeit und die Nachfrage entsprechend groß. Derzeit können sie den Menschen nicht einmal sagen, wann es weitergehen wird – das sorgt auch bei manch einem Geimpften für Unverständnis.

Inwiefern sind personenbezogene Daten betroffen?

Aus Berlin droht derweil weiterer Ungemach: Wie die DAZ auf Nachfrage erfuhr, prüft jetzt auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, den Vorfall. Wie ein Sprecher mitteilte, werde sie den DAV als Betreiber des Portals um Stellungnahme bitten. „Dabei gilt es zunächst zu klären, inwiefern durch die Sicherheitslücke Unberechtigte Zugriff auf personenbezogene Daten erhalten haben“, heißt es weiter. „Zum jetzigen Zeitpunkt ist noch unklar, ob überhaupt durch den Zugang zum Portal auf Informationen zugegriffen werden kann, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen“. Auf die Frage, ob von den Apotheken möglicherweise mehr Daten erhoben wurden als nötig (Stichwort: Grundsatz der Datenminimierung), heißt es: „Derzeit liegen uns keine Informationen vor, welche Daten von den Apotheken erhoben wurden oder inwiefern die Telematik-ID betroffen ist.“ 

Datenschützer ziehen dem Schweizer Portal den Stecker

Dass sich die Berliner Datenschutzbeauftragte einschalten könnte, hatten Tschirsich und Zilch bereits im DAZ-Interview vermutet. Ihren Angaben zufolge habe bei einem ähnlichen Vorfall in der Schweiz im März dieses Jahres der dort zuständige Datenschützer den Betrieb des Schweizer Portals untersagt. Bis heute sei dieses nicht wieder ans Netz gegangen.

Ob dem DAV-Portal oder zumindest dem Impfzertifikate-Modul ein vergleichbares Schicksal droht, bleibt abzuwarten. Fest steht wohl allerdings, dass das Erstellen der digitalen Impfnachweise künftig über die Telematikinfrastruktur laufen soll und nicht mehr über das DAV-Portal. Im Statement von DAV und BMG von vergangenem Freitag hieß es, man arbeite gemeinsam mit IBM und der Gematik daran, „die Sicherheit bei der Ausstellung von Impfzertifikaten durch eine Einbindung dieses Prozesses in die sichere Telematikinfrastruktur insgesamt noch weiter zu erhöhen“. Im Klartext dürfte das bedeuten, dass das Ministerium dem DAV die Kompetenz entzieht, die Zertifikate über das hauseigene Portal erstellen zu lassen.



Christina Müller, Apothekerin und Redakteurin, Deutsche Apotheker Zeitung (cm)
redaktion@daz.online


Diesen Artikel teilen:


4 Kommentare

Datenschutz

von ratatosk am 27.07.2021 um 18:36 Uhr

Wo waren eigentlich die so wichtigen Datenschutzbeauftragten bei der Abschaltung der kompletten Bundestagsverwaltung, wo beim Angriff auf die arme Gemeinde die jetzt 2 Wochen gar nichts mehr machen kann ?? etc etc. Hier auf einmal zeigt man ungeahnte Energien, wenn es um Apotheken geht, war schon so bei den Masken. Dachte früher es ist eher zufällig, aber nein, es zeigt sich ein klares Muster ! Die Anmerkung von Friedrich Müller ist nur zu richtig, wenn die Staatsanwaltschaft Kenntnis erlangt, müßte sie tätig werden. Warum wohl nicht kann sich jetzt jeder selbst überlegen.
Eine unabhängige investigative Presse ist für die Demokratie unersetzlich, umso schändlicher dieser Vorgang mit zumindest aus Laiensicht krimineller Energie, die Staatsanwaltschaft die schweigt sieht es wohl anders, sonst würde sie ja tätig werden.

» Auf diesen Kommentar antworten | 0 Antworten

und

von Karl Friedrich Müller am 27.07.2021 um 16:15 Uhr

alle Wichtigtuer am Werk?
"Sicherheitslücke", lächerlich, jedenfalls keine IT Lücke. Da wurde die Berechtigung einfach nicht geprüft.
Statt dass endlich die beiden Vögel wegen Urkundenfälschung dran kommen.
Gibt es nicht sogar eine Pflicht der Staatsanwaltschaft zu ermitteln, auch ohne Anzeige?
Ich fasse es nicht mehr. Dieser Staat ist so was von gaga.
Querdenker, Wissenschaftsleugner (an 1. Stelle Laschet, Hilfe), rechte und linke Radikale, Realitätsverweigerer, Kriminelle, .......

» Auf diesen Kommentar antworten | 1 Antwort

AW: und

von Conny am 27.07.2021 um 17:08 Uhr

Auch Sie können die beiden „Vögel“ anzeigen

Sicherheitslücke

von Roland Mückschel am 27.07.2021 um 12:32 Uhr

Ich finde man sollte alle Vorort-Apotheken abschaffen.
Da gibt es viel zu viele Sicherheitslücken.
Dann soll bitte das Ausland übernehmen.
Wozu stehen Politiker auf deren Lohnlisten?

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.