Corona-Impfung

Apotheken dürfen bald wieder digitalen Impfpass ausstellen

Lesedauer: 4 Minuten
Benjamin Köhler und Jan Scharpenberg
Corona: Sicherheitslücken beim digitalen Impfpass in Apotheken

Corona: Sicherheitslücken beim digitalen Impfpass in Apotheken

Die Impfkampagne in Deutschland läuft und die Geimpften können sich ihren Impfpass direkt aufs Handy holen. Bisher haben das auch Apotheken angeboten. Das wird jedoch erstmal gestoppt.

Beschreibung anzeigen

Wegen einer Sicherheitslücke konnten Apotheken vorübergehend keinen digitalen Impfpass ausstellen. Das Problem soll bald gelöst sein.

Berlin. 
  • Wegen einer Sicherheitslücke wurde die Ausstellung von Corona-Impfzertifikaten in Apotheken zeitweise gestoppt
  • Das Problem soll nun schrittweise gelöst werden
  • Bald soll die Ausstellung der digitalen Impfpässen wieder möglich sein

Der digitale Impfpass soll unter anderem das Reisen einfacher machen und den gelben Impfpass ablösen, um eine nachzuweisen. Doch nun gab es bei der Ausstellung enorme Probleme: Die Apotheken in Deutschland konnten vorübergehend keine digitalen Impfpässe ausstellen. Nach Bekanntwerden einer Sicherheitslücke musste der Service vollständig deaktiviert werden, teilt der Deutsche Apothekerverband (DAV) mit.

Wie ein Sprecher des Gesundheitsministeriums gegenüber der Deutschen Presse-Agentur mitteilte, sollen die Apotheken ab dieser Woche jedoch wieder Impfzertifikate ausstellen dürfen. Dann sollen sie nach und nach wieder Zugang zum Portal des DAV bekommen. Die Ausstellung der Impfnachweise in Papierform laufe ohnehin weiter wie gewohnt, sagte ein Sprecher des DAV unserer Redaktion.

Am Montagmorgen war auf dem DAV-Portal zu lesen, dass die Apotheken "zeitnah detailliert" über das digitale Impfzertifikat informiert würden - von Anrufen solle aufgrund einer überlasteten Hotline abgesehen werden. Ob die Ausstellung bereits ab Montag in einigen Apotheken schon wieder funktioniert, ist dementsprechend noch unklar.

Digitaler Impfpass: IT-Experten decken Sicherheitslücke auf

Das "Handelsblatt" hatte mit Hilfe der IT-Sicherheitsexperten André Zilch und Martin Tschirsich kürzlich eine gravierende Sicherheitslücke bei der Erstellung digitaler Impfnachweise aufgedeckt. Ihnen war es gelungen, innerhalb von 48 Stunden unbemerkt auf das Impfnachweis-Portal des DAV zuzugreifen und gültige Zertifikate zu erstellen – ohne Prüfung, ob die betreffende Person geimpft ist oder nicht. Apotheken, die nicht Mitglied in Landesverbänden sind, müssen sich über dieses Portal mit einem Gastzugang registrieren. Dann können auch sie digitale Impfzertifikate austellen.

Zilch und Tschirsich konnten erfolgreich einen solchen Gastzugang für einen nicht existierenden Apotheker erstellen, teilt der DAV mit. "Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt."

Digitale Impfnachweise in Apotheken auf unbestimmte Zeit gestoppt

Nachdem das "Handelsblatt" auf die Sicherheitslücke hingewiesen habe, sei die Ausstellung der digitalen Impfzertifikate in Rücksprache mit dem Bundesgesundheitsministerium gestoppt worden, hieß es weiter seitens des DAV.

Zunächst müssten nun alle über einen Gastzugang registrierten Apotheken überprüft werden. Bis zum Freitag habe es keine Hinweise auf weitere falsche Apotheken im System gegeben, gab das Bundesgesundheitsministerium bekannt. "Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden", meldete der DAV. Laut Gesundheitsministerium waren von der Sicherheitslücke potenziell nur die wenigen hundert Apotheken betroffen, die nicht Mitglied des DAV sind.

Doch wie das Nachrichtenportal "Watson" berichtet, sind im Darknet bereits Impfpässe angeboten worden, an deren Kennziffern sich die Ausstellung durch eine Apotheke belegen lässt. "Es ist ziemlich wahrscheinlich, dass die kriminellen Anbieter eine der aufgezeigten Schwachstellen des DAV-Portals nutzen", sagte It-Sicherheitsexperte Tschirsich dem "Handelsblatt".

Wie funktioniert der digitale Impfpass?

Um einen digitalen Impfpass über eine Corona-Impfung zu erhalten, legen Geimpfte bei registrierten Apotheken ihren Impfausweis und ihren Personalausweis vor. Die Apotheke trägt diese dann in das RKI-Meldesystem ein, woraufhin ein QR-Code erstellt wird, mit dem Geimpfte ihre Impfung in der Corona-Warn-App digital nachweisen können.

Der digitale Impfpass wurde im Juni eingeführt, um das Reisen innerhalb der EU oder aber auch den Einlass in Restaurants, Kinos und Museen zu vereinfachen. Er soll den gelben Impfpass ablösen - wobei der digitale Nachweis nicht verpflichtend ist.