Impfzertifikate: Schrittweiser Zugang ab nächster Woche
Die IT-Sicherheitsexperten Dr. André Zilch und Martin Tschirsich haben in nur 48 Stunden eine Sicherheitslücke im DAV-Portal aufgedeckt. Der DAV hat das Ausstellen digitaler Impfzertifikate über das Portal gestoppt. In der kommenden Woche soll das Ausstellen der Zertifikate wieder möglich sein.
„Aufgrund eines Hinweises auf eine potentielle Schwachstelle beim Zugang zum Webportal des Deutschen Apothekerverbands (DAV) wurde die Ausstellung von Impfzertifikaten über dieses Webportal vorübergehend deaktiviert“, erklären DAV und Bundesgesundheitsministerium (BMG) heute in einem gemeinsamen Statement. Potentiell seien nur die wenigen hundert Apotheken betroffen, die nicht Mitglied des DAV sind. Außerdem würden alle erteilten Zugänge bereits überprüft und verifiziert.
„Nach aktuellem Kenntnisstand ist es zu keinem Betrug bei der Erstellung von Impfzertifikaten gekommen. Ein solcher wäre im Übrigen eine Straftat. Alle Apotheken, die dies wünschen, erhalten in der nächsten Woche schrittweise wieder Zugriff auf das DAV-Portal, so dass sie auch wieder Impfzertifikate ausstellen können. DAV, IBM, gematik und BMG arbeiten zudem gemeinsam daran, die Sicherheit bei der Ausstellung von Impfzertifikaten durch eine Einbindung dieses Prozesses in die sichere Telematikinfrastruktur insgesamt noch weiter zu erhöhen.“
Zu Beginn der Zertifikateausstellung konnten nur Apotheken, deren Inhaber:innen Mitglieder in den Landesapothekerverbänden sind, über das DAV-Portal digitale Impfnachweise ausstellen. Der Ärger unter den Nichtmitgliedern war groß und es wurde die Möglichkeit des Gastzuganges geschaffen. Und genau dieser wurde nun zur Sicherheitslücke.
Die IT-Sicherheitsexperten hatten laut DAV „mithilfe von professionell gefälschten Dokumenten einen Gastzugang für einen nicht existierenden Apothekeninhaber erzeugt.“ Wirklich kompliziert war das Ganze nicht: „Ich bin absolut kein Grafiker oder Bildbearbeiter. Das war weit entfernt von einer professionellen Fälschung“, erklärt Tschirsich gegenüber APOTHEKE ADHOC. Doch das reichte. „Der DAV möchte ja gar keine Betriebserlaubnis sehen, sondern nur ein Bild davon.“ Erfunden wurden nicht nur die „Sonnen-Apotheke“, sondern auch die Adresse, die zu einem Mehrfamilienhaus passt und die 19-stellige TI-Nummer. „In diesem ganzen Antrag waren so viele absichtliche Fehler drin, dass man das mit einer einfachsten Prüfung hätte erkennen müssen“, sagt Zilch. Doch aufgefallen ist der „Hack“ nicht.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Ersatzkassen: Arbeitspreis erhöht sich zum 1. Mai
Mischen Apotheken antibiotische Trockensäfte an, können sie den Service nicht abrechnen. Anders sieht es bei der Rekonstitution von Evrysdi (Risdiplam, …
Vitamin D für Babys: Achtung bei flüssigen Darreichungsformen
Vitamin D ist unverzichtbar für den menschlichen Körper und ein Mangel kann schwerwiegende Folgen haben, beispielsweise für die Knochengesundheit. Um …
IXOS.PDL: Digitale Unterschrift wird deaktiviert
Pharmatechnik deaktiviert zum 1. Mai die Funktion der digitalen Unterschrift im Modul IXOS.PDL für den Bereich der pharmazeutischen Dienstleistungen (pDL). …