Digitaler Impfpass: Kein Zertifikatsrückruf unter dieser Apotheke

Was tun mit den illegal ausgestellten digitalen Impfpässen? Zurückziehen ist nicht vorgesehen. Im Notfall müssen alle neu ausgestellt werden.

Ein Bericht von und veröffentlicht am
Apotheken können derzeit keine digitalen Impfnachweise ausgeben.
Apotheken können derzeit keine digitalen Impfnachweise ausgeben. (Bild: Martin Rose/Getty Images)

Die Apotheken in Deutschland geben derzeit keine digitalen Impfnachweise mehr aus, da der Deutsche Apothekerverband (DAV) dies nach Sicherheitsbedenken gestoppt hat. Doch das System hat ein technisches Problem: Ein bisher von einer Apotheke ausgestelltes Zertifikat kann kaum sinnvoll zurückgezogen werden - außer es werden sämtliche Zertifikate von allen Apotheken zurückgezogen. Das wären derzeit immerhin rund 25 Millionen Zertifikate.

Stellenmarkt
  1. Testautomatisierer IoT Suite (w/m/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Entwickler (m/w/d) Business Intelligence / Data Warehouse
    bofrost*, Straelen
Detailsuche

Auf das Problem hingewiesen haben die Sicherheitsforscher André Zilch und Martin Tschirsich, die sich Zugang zu dem Portal der Apotheken verschaffen konnten, indem sie sich als Apothekenbetreiber ausgaben und einen Zugang beantragten. Auf diese Weise konnten sie selbst Impfnachweise ausstellen.

Doch neben den Sicherheitsforschern haben offensichtlich auch Kriminelle Zugriff auf das System und bieten illegale Impfnachweise zum Kauf an. Diese müssten nun zurückgezogen werden, was aber im System nicht vorgesehen ist.

Bekannt ist das grundsätzliche Problem aber schon viel länger. Bereits vor rund einem Monat wies Thomas Siebert, Head of Protection Technologies bei dem Sicherheitsunternehmen GData, genau darauf hin.

Golem Akademie
  1. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  2. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
  3. Online-Sprachkurse mit Golem & Gymglish
    Kurze Lektionen, die funktionieren
Weitere IT-Trainings

Siebert hatte sich für eine Untersuchung der Architektur der digitalen Impfnachweise einen Decoder für die QR-Codes erstellt, wie er auf Nachfrage von Golem.de bestätigte. Golem.de-Autor Hanno Böck hat einen ähnlichen Decoder auf Github veröffentlicht. Dieser zeigt lediglich die Daten in dem Impfnachweis an. Eine Verifikation wird explizit nicht vorgenommen.

Bei der Analyse verschiedener Impfnachweise aus Apotheken fiel Siebert so auf, dass diese alle von einem zentralen Schlüssel stammen. "Die Signatur wird letztlich über das Portal des Deutschen Apothekerverbands mit dessen Schlüssel ausgestellt, nicht durch die ausgebende Apotheke", schreibt er in einem Blogbeitrag.

Apothekerverband erstellt die Zertifikate mit einem zentralen Schlüssel

Siebert erklärte dazu Golem.de: "Bisher ist für das Zurückziehen von digitalen Impfnachweisen allerdings nur eine Möglichkeit vorgesehen: Das Zurückziehen des missbräuchlich verwendeten digitalen Schlüssels. Sämtliche vom Apothekerverband generierten Impfnachweise verwenden aber den gleichen Schlüssel. Deshalb können nur alle in Apotheken erstellten Impfnachweise auf einen Schlag zurückgezogen werden." Praktikabel erscheint das kaum, immerhin müssten alle Impfnachweise dann neu ausgeben werden, mit entsprechendem Aufwand für alle Beteiligten.

"Ein weiterer Weg wäre die Sperrung anhand des Zertifikatsidentifikators (Unique Vaccination Certificate/Assertion Identifier, UVCI), die Teil des Impfnachweises ist. Darin enthalten ist eine eindeutige Identifikationsnummer für die ausgebende Apotheke oder auch Impfzentrum," erklärte Siebert bereits Ende Juni. Doch schon damals schränkte er ein: "Allerdings wird dieses Format zumindest für Apotheken erst seit wenigen Tagen verwendet. Zuvor wurde für sämtliche Zertifikate als Issuer 'DAVPU' angegeben, also der Deutsche Apothekerverband."

Zurückziehen könnte bei neuen Zertifikaten funktionieren, bei alten nicht

Zwar ist das Zurückziehen von gefälschten Impfnachweisen mithilfe der UVCI künftig möglich. Mit Blick auf Medienberichte, die bereits illegal ausgestellte Zertifikate thematisieren, ergibt sich aber ein weiteres Problem.

Siebert sagt dazu: "Sollte sich herausstellen, dass in einer Apotheke zuvor flächendeckend falsche Impfzertifikate ausgestellt wurden, könnten diese Zertifikate nicht zurückgerufen werden. Es könnten höchstens alle Zertifikate aller Apotheken bis zu diesem Zeitpunkt zurückgerufen werden - mit entsprechenden Kosten."

Unklar bleibt, ob und wann das Zertifikatsystem der Apotheken wieder angefahren wird und wie mit den bisher ausgestellten Zertifikaten umgegangen wird. Immerhin: Ärzte und Impfzentren sind nicht betroffen, diese verwenden andere Schlüssel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


NaruHina 26. Jul 2021

haben dennoch nicht ins portmonai gepassst. und mussten daher immer seperat mitgeführt werden

scrumdideldu 26. Jul 2021

"Milde getroffen"? Die haben bereits mit der Masken eine Schatztruhe geschenkt bekommen...

scrumdideldu 26. Jul 2021

Deine aufgestellten Behauptungen widersprechen allem was die etablierten Wissenschaftler...

ibecf 25. Jul 2021

Das kommt vor. Aus persönlich Erfahrungen würde ich sagen aber sagen führt ein normale...



Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Bundestagswahl 2021: Laschet und Scholz wollen beide Kanzler werden
    Bundestagswahl 2021
    Laschet und Scholz wollen beide Kanzler werden

    Die Union erzielt bei der Bundestagswahl 2021 ihr bislang schlechtestes Ergebnis. Dennoch will Spitzenkandidat Laschet Kanzler einer "Zukunftskoalition" werden.

  2. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

  3. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /