Digitaler Impfpass: Kein Zertifikatsrückruf unter dieser Apotheke

Was tun mit den illegal ausgestellten digitalen Impfpässen? Zurückziehen ist nicht vorgesehen. Im Notfall müssen alle neu ausgestellt werden.

Ein Bericht von und veröffentlicht am
Apotheken können derzeit keine digitalen Impfnachweise ausgeben.
Apotheken können derzeit keine digitalen Impfnachweise ausgeben. (Bild: Martin Rose/Getty Images)

Die Apotheken in Deutschland geben derzeit keine digitalen Impfnachweise mehr aus, da der Deutsche Apothekerverband (DAV) dies nach Sicherheitsbedenken gestoppt hat. Doch das System hat ein technisches Problem: Ein bisher von einer Apotheke ausgestelltes Zertifikat kann kaum sinnvoll zurückgezogen werden - außer es werden sämtliche Zertifikate von allen Apotheken zurückgezogen. Das wären derzeit immerhin rund 25 Millionen Zertifikate.

Stellenmarkt
  1. SAP Logistik-Berater (m/w/x) mit Fokus auf SD - SAP Logistic
    über duerenhoff GmbH, Darmstadt
  2. Informatiker im EDI Software Support (m/w/d)
    IWOfurn Service GmbH, Holzgerlingen (Home-Office)
Detailsuche

Auf das Problem hingewiesen haben die Sicherheitsforscher André Zilch und Martin Tschirsich, die sich Zugang zu dem Portal der Apotheken verschaffen konnten, indem sie sich als Apothekenbetreiber ausgaben und einen Zugang beantragten. Auf diese Weise konnten sie selbst Impfnachweise ausstellen.

Doch neben den Sicherheitsforschern haben offensichtlich auch Kriminelle Zugriff auf das System und bieten illegale Impfnachweise zum Kauf an. Diese müssten nun zurückgezogen werden, was aber im System nicht vorgesehen ist.

Bekannt ist das grundsätzliche Problem aber schon viel länger. Bereits vor rund einem Monat wies Thomas Siebert, Head of Protection Technologies bei dem Sicherheitsunternehmen GData, genau darauf hin.

Golem Akademie
  1. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  2. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
  3. Online-Sprachkurse mit Golem & Gymglish
    Kurze Lektionen, die funktionieren
Weitere IT-Trainings

Siebert hatte sich für eine Untersuchung der Architektur der digitalen Impfnachweise einen Decoder für die QR-Codes erstellt, wie er auf Nachfrage von Golem.de bestätigte. Golem.de-Autor Hanno Böck hat einen ähnlichen Decoder auf Github veröffentlicht. Dieser zeigt lediglich die Daten in dem Impfnachweis an. Eine Verifikation wird explizit nicht vorgenommen.

Bei der Analyse verschiedener Impfnachweise aus Apotheken fiel Siebert so auf, dass diese alle von einem zentralen Schlüssel stammen. "Die Signatur wird letztlich über das Portal des Deutschen Apothekerverbands mit dessen Schlüssel ausgestellt, nicht durch die ausgebende Apotheke", schreibt er in einem Blogbeitrag.

Apothekerverband erstellt die Zertifikate mit einem zentralen Schlüssel

Siebert erklärte dazu Golem.de: "Bisher ist für das Zurückziehen von digitalen Impfnachweisen allerdings nur eine Möglichkeit vorgesehen: Das Zurückziehen des missbräuchlich verwendeten digitalen Schlüssels. Sämtliche vom Apothekerverband generierten Impfnachweise verwenden aber den gleichen Schlüssel. Deshalb können nur alle in Apotheken erstellten Impfnachweise auf einen Schlag zurückgezogen werden." Praktikabel erscheint das kaum, immerhin müssten alle Impfnachweise dann neu ausgeben werden, mit entsprechendem Aufwand für alle Beteiligten.

"Ein weiterer Weg wäre die Sperrung anhand des Zertifikatsidentifikators (Unique Vaccination Certificate/Assertion Identifier, UVCI), die Teil des Impfnachweises ist. Darin enthalten ist eine eindeutige Identifikationsnummer für die ausgebende Apotheke oder auch Impfzentrum," erklärte Siebert bereits Ende Juni. Doch schon damals schränkte er ein: "Allerdings wird dieses Format zumindest für Apotheken erst seit wenigen Tagen verwendet. Zuvor wurde für sämtliche Zertifikate als Issuer 'DAVPU' angegeben, also der Deutsche Apothekerverband."

Zurückziehen könnte bei neuen Zertifikaten funktionieren, bei alten nicht

Zwar ist das Zurückziehen von gefälschten Impfnachweisen mithilfe der UVCI künftig möglich. Mit Blick auf Medienberichte, die bereits illegal ausgestellte Zertifikate thematisieren, ergibt sich aber ein weiteres Problem.

Siebert sagt dazu: "Sollte sich herausstellen, dass in einer Apotheke zuvor flächendeckend falsche Impfzertifikate ausgestellt wurden, könnten diese Zertifikate nicht zurückgerufen werden. Es könnten höchstens alle Zertifikate aller Apotheken bis zu diesem Zeitpunkt zurückgerufen werden - mit entsprechenden Kosten."

Unklar bleibt, ob und wann das Zertifikatsystem der Apotheken wieder angefahren wird und wie mit den bisher ausgestellten Zertifikaten umgegangen wird. Immerhin: Ärzte und Impfzentren sind nicht betroffen, diese verwenden andere Schlüssel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


NaruHina 26. Jul 2021 / Themenstart

haben dennoch nicht ins portmonai gepassst. und mussten daher immer seperat mitgeführt werden

scrumdideldu 26. Jul 2021 / Themenstart

"Milde getroffen"? Die haben bereits mit der Masken eine Schatztruhe geschenkt bekommen...

scrumdideldu 26. Jul 2021 / Themenstart

Deine aufgestellten Behauptungen widersprechen allem was die etablierten Wissenschaftler...

ibecf 25. Jul 2021 / Themenstart

Das kommt vor. Aus persönlich Erfahrungen würde ich sagen aber sagen führt ein normale...

Kommentieren



Aktuell auf der Startseite von Golem.de
Venturi-Tunnel
Elektro-Motorrad mit Riesenloch auf der Teststrecke

White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
Artikel
  1. Elektroauto: Cadillac Lyriq nach 19 Minuten weg
    Elektroauto
    Cadillac Lyriq nach 19 Minuten weg

    Einen der ersten Cadillac Lyriq zu reservieren, glich mehr einer Lotterie als einem Autokauf. In wenigen Minuten waren alle Luxus-Elektroautos vergriffen.

  2. Autos, Scooter und Fahrräder: Berlin reguliert Sharing-Mobilitätsangebote
    Autos, Scooter und Fahrräder
    Berlin reguliert Sharing-Mobilitätsangebote

    Die Nutzung des öffentlichen Raums durch Autos, Scooter und Fahrräder von Sharing-Unternehmen wird in Berlin reguliert.

  3. Abonnenten verunsichert: Apple hat Hörbücher aus Apple Music entfernt
    Abonnenten verunsichert
    Apple hat Hörbücher aus Apple Music entfernt

    Wer mit einem Musikstreamingabo Hörbücher hören will, muss von Apple Music zu Deezer, Spotify oder einem anderen Anbieter wechseln.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: MM-Club-Tage (u. a. SanDisk Ultra 3D 2 TB 142,15€) • Corsair Vengeance RGB PRO 16-GB-Kit DDR4-3200 71,39€ • Corsair RM750x 750 W 105,89€ • WD Elements Desktop 12 TB 211,65€ • Alternate (u. a. Creative SB Z SE 71,98€) • ASUS ROG Crosshair VIII Hero WiFi 269,99€ [Werbung]
    •  /