Sicherheitslücke: Apotheken stellen derzeit keine Impfzertifikate aus

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37211
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Sicherheitslücke: Apotheken stellen derzeit keine Impfzertifikate aus

Beitrag von doelf »

Der Deutsche Apothekerverband (DAV) hat mitgeteilt, dass die Apotheken in Deutschland zur Zeit keine Impfzertifikate ausstellen. Als Grund wird ein Sicherheitsproblem mit dem Gastzugang zum Mein Apothekenportal genannt. IT-Spezialisten hatten dort eine nicht existierende Apotheke zur Ausstellung von Impfzertifikaten registriert.

Die Daten von Apotheken, deren Inhaber Mitglieder in den Landesapothekerverbänden sind, werden in Mitgliederverzeichnissen geführt. Für diese Apotheken sei "eine zweifelsfreie und sichere Authentifizierung" auf dem Portal jederzeit gewährleistet. Es gibt aber auch Apotheken, die keine Mitglieder in einem Landesapothekerverband sind. Da der DAV diese aus wettbewerbsrechtlichen Anforderungen nicht an der Ausstellung von Impfzertifikaten hindern darf, wurde ein Gastzugang eingerichtet. Solche Gast-Apotheken müssen für eine erfolgreiche Registrierung ihre amtliche Betriebserlaubnis sowie einen aktuellen Bescheid des Nacht- und Notdienstfonds zum Nachweis eines laufenden Betriebs vorlegen. Laut DAV geht es um drei Prozent der auf dem Portal registrierten Apotheken.

In der Praxis scheint das Prüfverfahren allerdings lückenhaft zu sein, da IT-Spezialisten mit gefälschten Dokumenten einen Gastzugang anlegen und über diesen zwei Impfzertifikate ausstellen konnten. Als Konsequenz hatte der DAV die Ausstellung von Zertifikaten am Mittwoch gestoppt und eine außerordentliche Überprüfung der über Gastzugänge angemeldeten Betriebsstätten veranlasst. Laut DAV findet ohnehin "mehrfach pro Woche" eine Überprüfung der Gastzugänge statt. Dass nun ein kompletter Ausstellungsstopp verhängt wurde, statt lediglich die Gastzugänge für eine Überprüfung zu sperren, dürfte wettbewerbsrechtliche Gründe haben. Stand Donnerstagmittag konnten keine Hinweise auf andere unberechtigte Zugänge gefunden werden. Man wolle dennoch die Option zusätzlicher Sicherheitsmechanismen in Erwägung ziehen.

Quelle:
https://www.abda.de/aktuelles-und-press ... tifikaten/
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
neO
Halbgott der Platine
Halbgott der Platine
Beiträge: 4784
Registriert: 23 Feb 2005, 10:59

Re: Sicherheitslücke: Apotheken stellen derzeit keine Impfzertifikate aus

Beitrag von neO »

Ein Zertifikat für alle, geht es verloren, ist alles hin?
Sieht fast danach aus, oder?

(..) Doch das System hat ein technisches Problem: Ein bisher von einer Apotheke ausgestelltes Zertifikat kann kaum sinnvoll zurückgezogen werden - außer es werden sämtliche Zertifikate von allen Apotheken zurückgezogen. (..)
(..) Sämtliche vom Apothekerverband generierten Impfnachweise verwenden aber den gleichen Schlüssel. Deshalb können nur alle in Apotheken erstellten Impfnachweise auf einen Schlag zurückgezogen werden." Praktikabel erscheint das kaum, immerhin müssten alle Impfnachweise dann neu ausgeben werden, mit entsprechendem Aufwand für alle Beteiligten.

https://www.golem.de/news/digitaler-imp ... =widget.hp
Der "Markt" wird das "bereinigen"...
Hic et nunc et in aeternum: This world is one! (See you in the world of tomorrow)
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37211
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Sicherheitslücke: Apotheken stellen derzeit keine Impfzertifikate aus

Beitrag von doelf »

Die gefälschten Dokumente hätte ein Laie erkennen müssen. Das war ein "Hack" auf Kindergartenniveau. Zudem werden im Internet authentische deutsche Impfnachweise zum Kauf angeboten. Die Schwachstelle wurde also vermutlich auch von anderen ausgenutzt.

Das ganze System wirkt wie auf die Schnelle zusammengeschustert und könnte darin münden, dass man die deutschen Nachweise international nicht mehr anerkennen wird. Spahn und Scheuer liefern sich wirklich ein enges Rennen um den Titel des größten Pannen-Ministers!

Gruß

Michael
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37211
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Digitalen Impfzertifikate: Apotheken müssen weiter warten

Beitrag von doelf »

Nachdem die Sicherheitsexperten André Zilch und Martin Tschirsich massive Sicherheitslücken im Zertifizierungsprozess von Apotheken für die Ausstellung digitaler Impfzertifikate offengelegt hatten, zog der Deutsche Apothekerverband (DAV) die Reißleine und schaltete das Zertifikate-Modul in der vergangenen Woche kurzerhand ab. Eigentlich sollten die Probleme bis Montag behoben sein, doch auch am heutigen Mittwoch arbeitet man noch an der Absicherung.

Es dauert noch
Laut DAV können sich die angeschlossenen Apotheken "täglich Informationen über den aktuellen Stand der Entwicklungen zu den digitalen Impfzertifikaten" über das Dashboard im DAV-Portal besorgen. Man arbeite zusammen mit dem Bundesgesundheitsministerium, Gematik, IBM und dem Robert-Koch-Institut unter "Hochdruck an einer technischen Lösung". Die Ausstellung digitaler Impfzertifikate solle "schnellstmöglich" wieder anlaufen. "Erste Tests seien in Vorbereitung". Die Apotheken müssen demnach nichts tun außer abwarten und ihre Kunden vertrösten.

Schwere Vorwürfe der Sicherheitsexperten
In einem Interview mit der Deutschen Apotheker Zeitung (DAZ) erheben Zilch und Tschirsich schwere Vorwürfe. Sie hätten schon seit längerer Zeit den Verkauf gefälschter Impfzertifikate zu Preisen von 150 bis 300 Euro beobachtet und festgestellt, dass diese allesamt über das DAV-Portal erstellt wurden. Doch sowohl die Verantwortlichen beim DAV als auch in der Politik hätten alle Warnungen in den Wind geschlagen, weshalb sie den Beweis in der Praxis erbringen mussten. Und das gelang noch leichter als gedacht.

Von "professionell gefälschten Dokumenten", wie der DAV in seiner Stellungnahme behauptet, könne keine Rede sein. Tatsächlich habe man am Sonntagabend eine Betriebserlaubnis und eine Bescheinigung des Nacht- und Notdienstfonds aus Google-Funden zusammengebastelt und über eine anonyme E-Mail-Adresse an den DAV geschickt. Die geforderte Telematik-ID hatte die erforderliche Länge, war ansonsten aber frei erfunden. Unter der postalischen Adresse der angeblichen Apotheke existiert nur ein Mehrfamilienhaus, dennoch kam bereits am Dienstag der Zugangscode per Post.

Da Fachmann staunt, der Laie auch
Kurzum: Beim DAV fand keine ausreichende Plausibilitätsprüfung durch Mitarbeiter statt und nicht einmal die Telematik-ID wurde verifiziert. So etwas kann man zwar als Sicherheitslücke bezeichnen, es klingt aber mehr nach Schlamperei auf ganzer Linie. Hier muss strukturell so einiges im Argen liegen, schließlich geht es um nicht weniger als die Erstellung offizieller Dokumente und nicht um eine Anmeldung zur Kuchenspende für den nächsten Basar der Kirchengemeinde.

Und es kommt noch schlimmer: Da alle Apotheken den selben Schlüssel benutzt haben, ist es im Nachhinein nicht möglich, einzelne Zertifikate bzw. die durch bestimmte Apotheken ausgestellten Zertifikate zurückzuziehen. Wie ein solcher konzeptioneller Fehler von den Verantwortlichen durchgewunken werden konnte, ist schier unbegreiflich. Nun steht man vor der Wahl, entweder alle Impfzertifikate für ungültig zu erklären oder die im Umlauf befindlichen Fälschungen in Kauf zu nehmen. Das ist nicht mehr als die Wahl zwischen Pest und Cholera.
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1372
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Digitalen Impfzertifikate: Apotheken müssen weiter warten

Beitrag von Mausolos »

doelf hat geschrieben: 28 Jul 2021, 14:58Da alle Apotheken den selben Schlüssel benutzt haben, ist es im Nachhinein nicht möglich, einzelne Zertifikate bzw. die durch bestimmte Apotheken ausgestellten Zertifikate zurückzuziehen. (…)
Nun steht man vor der Wahl, entweder alle Impfzertifikate für ungültig zu erklären oder die im Umlauf befindlichen Fälschungen in Kauf zu nehmen.
Gilt Letzteres auch für die digitalen Impfnachweise, die z.B. vom Sozialministerium Baden-Württemberg versendet wurden?
Personen, die in einem Impfzentrum ihren bzw. ihre beiden "befreienden Pikser" erhalten haben, bekommen den(die) digitalen Impfnachweis(e) per Post.

Die »eindeutige Zertifikatkennung« beginnt hier mit z.B. »01DE/IZ80000A/…« IZ steht für das Impfzentrum, 80000 für dessen Postleitzahl.
männlich weiblich divers ⚨ ⚲ ☿ ⚧ ⚥ ⚦
ein Arzt kann sein «m/w/d» — eine Ärztin ist alleinig «w»
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37211
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Sicherheitslücke: Apotheken stellen derzeit keine Impfzertifikate aus

Beitrag von doelf »

Es gilt nur für Apotheken, da diese die - meines Erachtens - für diesen Zweck völlig untaugliche Plattform des DAV genutzt haben. Zertifikate von Arztpraxen etc. sind anders angebunden und damit auch nicht von der "Sicherheitslücke" betroffen.

Gruß

Michael
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Antworten