Sicherheitslücke Warum Apotheken derzeit keine Corona-Impfzertifikate mehr ausstellen

Hacker haben eine Schwachstelle entdeckt, über die digitale Corona-Impfzertifikate gefälscht werden können. Nun gibt es auch politischen Streit, um die QR-Codes für Geimpfte und Genesene.
Foto: Oliver Berg / dpa

Digitale Bescheinigungen für Immunisierte sollten in der Coronapandemie das Leben etwas unkomplizierter machen. Doch nun gibt es bei dem System ein Problem: Seit Donnerstag dürfen zumindest Apotheken in Deutschland keine digitalen Zertifikate mehr für Corona-Geimpfte und Covid-19-Genesene ausstellen. Offenbar können Betrüger sich mit Photoshop-Tricks als Apotheker ausgeben und sich damit individuelle QR-Codes ohne Sicherheitsprüfung erschleichen.

Wie das »Handelsblatt«  berichtet, ist es den beiden IT-Sicherheitsexperten André Zilch und Martin Tschirsich offenbar gelungen, eine frei erfundene Apotheke über einen Gastzugang beim Online-Tool »Mein Apothekenportal«  des verantwortlichen Deutschen Apothekerverbands (DAV) anzumelden. Mit dem Zugang sei es möglich gewesen, offiziell vom Robert Koch-Institut signierte Impfzertifikate auszustellen, mit erfundenen Namen, beliebigem Impfdatum und frei wählbarer Coronavakzine.

Die Lücke betrifft offenbar nur Apotheken. In Impfzentren und Arztpraxen können laut dem Branchenmagazin »Apotheken-Adhoc«  aktuell weiterhin Zertifikate ausgestellt werden. Viele Geimpfte oder Genesene griffen jedoch in der Vergangenheit auf die Möglichkeit zurück, sich die QR-Codes nach einer Impfung in Apotheken ausstellen zu lassen.

Die Folgen der Sicherheitslücke sind schwer abzuschätzen. Laut dem Portal Watson.ch  sind zumindest in der Schweiz einige Zertifikate aus Deutschland aufgetaucht. In Messenger-Apps wurden entsprechende Zertifikate laut den Recherchen für jeweils 200 Euro illegal angeboten. Ob die QR-Codes allerdings aus dem Apotheker-Tool stammen, ist bisher nicht bestätigt.

Onlinezugang für Apotheken bleibt vorerst gesperrt

Die Bundesvereinigung Deutscher Apothekerverbände (Abda) zweifelt daran, dass das Portal gewerbsmäßig zur Herstellung gefälschter QR-Codes genutzt worden ist. Es seien »zwei gefälschte Zertifikate« im Umlauf, teilt eine Verbandssprecherin dem SPIEGEL mit. Der Zugang für Apotheker bleibt aber weiterhin gesperrt, bis das Problem behoben ist. »Wir arbeiten mit Hochdruck an einer Lösung.« Ein konkretes Datum, wann das Tool wieder freigeschaltet wird, könne man noch nicht nennen.

Das digitale Impfzertifikat haben sich in den vergangenen fünf Wochen bereits 25 Millionen Bürgerinnen und Bürger in einer von rund 18.000 Apotheken in Deutschland nachträglich ausstellen lassen. Davon seien 470 Apotheken über einen Gastzugang angemeldet gewesen. Für den Umweg über Apotheken hatte sich die Bundesregierung entschieden, da es digitale Zertifikate und Apps zum Zeitpunkt vieler Impfungen noch nicht gegeben hatte. In einigen Bundesländern erhalten Bürger das Zertifikat auch per Post, wenn sie in einem Impfzentrum geimpft wurden. Auf den Schreiben ist ein QR-Code abgebildet, der sich unter anderem mit Smartphone-Anwendungen  wie der Corona-Warn-App, CovPass und Luca einscannen lässt. Die Apps wiederum zeigen einen QR-Code an, der an Grenzen, an Flughäfen, in Restaurants und bei Konzerten die Immunität bescheinigen und als digitale Alternative zum gelben Impfpass dienen soll. Um an die gefälschten QR-Codes zu gelangen, meldeten die Hacker laut »Handelsblatt« die imaginäre »Sonnen-Apotheke« an, füllten ein Formular mit der Anschrift eines Mehrfamilienhauses aus, fälschten eine Betriebserlaubnis und den Briefbescheid über Geld vom Nacht- und Notdienstfonds.

FDP macht Jens Spahn mitverantwortlich

Innerhalb von zwei Tagen sei der Brief mit den Zugangsdaten für das Portal angekommen. Auch die Abfrage der sogenannten Telematik-ID stellte offenbar keine große Hürde dar. Anstatt der eindeutig zugewiesenen Kennzahl für medizinische Einrichtungen sollen Zilch und Tschirsich eine willkürlich gewählte Nummer eingegeben und dennoch Zugang erhalten haben. Die ehrlichste Lösung wäre es aus Sicht der Sicherheitsexperten zwar, die bisher ausgestellten Zertifikate »allesamt für ungültig zu erklären«.

Dennoch sei es jedoch nicht zielführend, nun »alle betroffenen digitalen Impfpässe noch einmal ausstellen zu lassen und dafür viel Geld auszugeben«, so André Zilch gegenüber »DAZ Online« . Die Situation werde sich mit der Zeit bereinigen, nicht zuletzt da es Auffrischimpfungen geben wird, die wieder dokumentiert werden müssten. »Wichtig ist, dass man jetzt die Prozesse sicher macht, damit der Schaden nicht noch größer wird«, nennt Zilch als aus Sicht der Hacker entscheidendes Fazit für die Zukunft.

Die Sprecherin der Bundesvereinigung Deutscher Apothekerverbände sagt zur Sicherheit der bereits ausgestellten Zertifikate allerdings: »Wer als Patient mit seinem Impfpass in eine Apotheke gegangen ist, um sich dort ein Zertifikat ausstellen zu lassen, weiß ja, dass er keiner Fake-Apotheke aufgesessen ist.«

Die FDP macht unterdessen Gesundheitsminister Jens Spahn (CDU) für die Probleme mit den Zertifikaten mitverantwortlich. Die FDP-Bundestagsfraktion habe bereits 2019 einen digitalen Impfpass gefordert, sagte FDP-Gesundheitsexpertin Christine Aschenberg-Dugnus der »Augsburger Allgemeinen«  am Freitag. »Wir hätten uns das heutige Chaos und jede Menge Geld sparen können, wenn die Bundesregierung rechtzeitig gehandelt hätte.« Wäre der QR-Code schon seit Beginn der Impfkampagne direkt übertragbar gewesen, wäre das mit weniger Aufwand für den Bürger verbunden und auch sicherer gewesen.

Neue Zertifikate ab kommender Woche

Das Bundesgesundheitsministerium teilte dem SPIEGEL am Freitag mit, dass derzeit alle erteilten Zugänge zum Apothekenportal »überprüft und verifiziert« würden. »Nach aktuellem Kenntnisstand ist es zu keinem Betrug bei der Erstellung von Impfzertifikaten gekommen«, sagt eine Sprecherin. »Ein solcher wäre im Übrigen eine Straftat.« In der kommenden Woche sollen die Apotheken demnach wieder »schrittweise« Zugriff auf das Portal bekommen. Außerdem arbeiteten die Entwickler daran, die Sicherheit bei der Impfzertifikat-Ausstellung weiter zu erhöhen. So soll unter anderem die Telematik-Infrastruktur besser eingebunden werden.

Hinweis: In einer früheren Version dieses Textes waren die Schlussfolgerungen, die die Sicherheitsforscher aus ihrem Hack ziehen, verkürzt wiedergegeben. Wir haben den entsprechenden Abschnitt ergänzt.

Die Wiedergabe wurde unterbrochen.